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RZECZYPOSPOLITEJ POLSKIEJ 


KANCELARIA SEJMU 
Biuro Komisji Sejmowych 


PEŁNY ZAPIS PRZEBIEGU POSIEDZENIA 


M KOMISJI CYFRYZACJI, INNOWACYJNOŚCI 
I NOWOCZESNYCH TECHNOLOGII 
(NR 89) 
z dnia 13 kwietnia 2018 r. 


Pełny zapis przebiegu posiedzenia 


Komisji Cyfryzacji, Innowacyjności i Nowoczesnych 
Technologii (nr 89) 


13 kwietnia 2018 r. 


Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii, obradująca pod 
przewodnictwem posła Pawła Pudłowskiego (N), przewodniczącego Komisji: 


— rozpatrzyła informację ministra cyfryzacji na temat zagadnień związanych 
z wdrożeniem do krajowego porządku prawnego ogólnego rozporządzenia 
unijnego o ochronie danych osobowych (RODO); 


— dokonała uzupełnienia składu podkomisji stałej do spraw polityki rozwoju 
inteligentnych miast i elektromobilności. 


W posiedzeniu udział wzięli: Marek Zagórski sekretarz stanu w Ministerstwie Cyfryzacji wraz 
ze współpracownikami, Marek Bieńkowski dyrektor Departamentu Porządku i Bezpieczeństwa 
Wewnętrznego Najwyższej Izby Kontroli, Piotr Drobek zastępca dyrektora Departamentu Edukacji 
Społecznej i Współpracy Międzynarodowej w Biurze GIODO wraz ze współpracownikami, Karolina 
Iwańska przedstawiciel Fundacji Panoptykon, Joanna Karczewska członek zarządu Stowarzy- 
szenia ISACA Warszawa, Jacek Kosiorek wiceprezes Polskiej Izby Radiodyfuzji Cyfrowej, Marcin 
Krasuski przedstawiciel Związku Przedsiębiorców i Pracodawców, Edyta Kwapich-Lenik ekspert 
zarządu Polskiego Związku Pracodawców Przemysłu Farmaceutycznego, Jacek Lemiecha prawnik 
Komisji ds. Legislacji przy Polskim Związku Zarządzania Wierzytelnościami, Monika Małowiecka 
ekspert Związku Powiatów Polskich, Anna Mazur menedżer ds. regulacyjnych w Związku Pracodaw- 
ców Branży Internetowej IAB Polska i przedstawiciel Business Centre Club, Aleksandra Piotrow- 
ska przedstawiciel Konfederacji Lewiatan, Tamara Rogowska główny specjalista w Kancelarii PAN, 
Jarosław Romaniuk starszy specjalista w Zespole Samorządowo-Organizacyjnym Związku Rzemio- 
sła Polskiego, Anna Skopicz-Radkiewicz przedstawiciel Konfederacji Lewiatan, Adriana Solecka 
dyrektor Wydziału Organizacyjnego, dyrektor Urzędu Marszałkowskiego Województwa Śląskiego wraz 
ze współpracownikami, Jerzy Straszewski prezes Polskiej Izby Komunikacji Elektronicznej, Tomasz 
Szatkowski przedstawiciel Polskiego Towarzystwa Informatycznego, Paweł Śmigielski dyrektor 
Wydziału Prawno-Interwencyjnego w Ogólnopolskim Porozumieniu Związków Zawodowych, Marek 
Woch pełnomocnik prezesa Narodowego Funduszu Zdrowia, Damian Wyrzykowski członek Zespołu 
Prawno-Legislacyjnego w Związku Banków Polskich. 


W posiedzeniu udział wzięli pracownicy Kancelarii Sejmu: Ewa Gast i Julia Popławska — z sekreta- 
riatu Komisji w Biurze Komisji Sejmowych. 


Przewodniczący poseł Paweł Pudłowski (N): 
Dzień dobry, witam państwa bardzo serdecznie. Otwieram 89. posiedzenie Komisji 
Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Witam państwa posłów i zapro- 
szonych gości. Bardzo serdecznie witam pana ministra i pana doktora odpowiedzialnego 
za obszar, którym będziemy się dzisiaj zajmowali. Stwierdzam kworum. 

Porządek dzisiejszego posiedzenia przewiduje rozpatrzenie informacji ministra cyfry- 
zacji na temat zagadnień związanych z wdrożeniem do krajowego porządku prawnego 
ogólnego rozporządzenia unijnego o ochronie danych osobowych (RODO). Drugi punkt 
dotyczy uzupełnienia składu podkomisji stałej do spraw polityki rozwoju inteligentnych 
miast i elektromobilności. 
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Powyższy porządek i materiał członkowie Komisji otrzymali. Czy są uwagi do porządku 
obrad? Nie słyszę. Stwierdzam, że Komisja przyjęła porządek dzienny posiedzenia bez 
zmian. 

Przystępujemy do realizacji punktu pierwszego porządku dziennego. Uprzejmie pro- 
szę pana Marka Zagórskiego sekretarza stanu w Ministerstwie Cyfryzacji o przedsta- 
wienie informacji. 


Sekretarz stanu w Ministerstwie Cyfryzacji Marek Zagórski: 
Dzień dobry państwu. Panie przewodniczący, Wysoka Komisjo, szanowni państwo, pro- 
ponuję, że opowiem w tej chwili o kilku głównych elementach. Potem, z uwagi na sze- 
rokość tego zagadnienia oraz jego skomplikowanie, myślę, że najprościej będzie, jeżeli 
oddamy się do dyspozycji państwa posłów i postaramy się udzielić odpowiedzi na pytania 
związane z przebiegiem legislacyjnym. 

Na wstępie chciałbym powiedzieć, że oczywiście kwestią absolutnie podstawową jest 
to, że rozporządzenie unijne o ochronie danych osobowych, które w skrócie nazywamy 
RODO, wchodzi w życie 25 maja i zaczyna obowiązywać wprost. W związku z bardzo 
dużym szumem medialnym w tej sprawie oraz zainteresowaniem, skądinąd bardzo 
słusznym, chcę powiedzieć, że cały czas staram się uspokajać wszystkich, że to jest 
po pierwsze ważna, istotna zmiana wprowadzająca cały szereg nowych przywilejów. 
To jest bardzo ważne, żebyśmy patrzyli na to rozporządzenie po pierwsze z punktu 
widzenia ochrony interesów obywateli i konsumentów, a nie obowiązków, jakie nakłada. 
Z takimi informacji i poglądami się spotykamy — że to rozporządzenie oraz przepisy, nad 
którymi pracujemy w rządzie, będą negatywnie oddziaływać na obywateli. Wręcz prze- 
ciwnie. Pamiętajmy, że celem rozporządzenia — być może z różnych punktów widzenia 
nadmiarowego, zwłaszcza z punktu widzenia niektórych przedsiębiorców — jest ochrona 
danych osobowych, zwiększenie poziomu ochrony danych osobowych i wprowadzenie 
kilku instrumentów w sposób ewidentny mających stawiać w lepszej pozycji obywateli, 
których dane osobowe są przetwarzane przez biznes oraz administrację. To jest pierwsze 
zastrzeżenie. 

Drugie zastrzeżenie dotyczy tego, że oczywiście tak jak powiedziałem — to rozpo- 
rządzenie nakłada cały szereg obowiązków na przedsiębiorców i na administrację. Nie 
jest jednak tak, że — pozwolę sobie użyć takiego sformułowania — 25 maja nastąpi jakiś 
armagedon czy koniec świata. Mówię o tym z pełną świadomością. Oczywiście będzie 
cały szereg nowych obowiązków i oczywiście zwiększony będzie poziom odpowiedzial- 
ności przedsiębiorców, podmiotów przetwarzających dane osobowe, ale nie jest też tak, 
że mamy tutaj zupełnie nowe zjawisko. Trzeba się do tego przygotowywać, trzeba mieć 
świadomość nowych przepisów, ale w kontekście ofert na rynku, które się pojawiają, prób 
wyłudzania od przedsiębiorców środków na szkolenia; dostosowanie się. 

Ostatnio była taka historia, pokazywana przez media, dotycząca bodajże 25 tys. zł 
kary, o ile nie wprowadzi się jakiegoś rozwiązania, czy jakichś specjalnych wzorów. Przed 
tym chciałbym bardzo serdecznie i bardzo mocno przestrzec, żeby nie dać się zwariować 
i nie dać narzucić sobie jakichś rozwiązań czy umów, które później będą kompletnie 
nieprzydatne i będziemy mieli do czynienia z wyłudzeniem. 

Myślę, że to bardzo istotne i ważne także dla naszych przedsiębiorców, zwłaszcza dla 
drobnych przedsiębiorców, którzy cały czas słyszą o karach. W świadomości publicznej 
mamy informację o 20 000 tys. euro kary, które urosło już do mitu i jest takim głównym 
straszakiem. Musimy pamiętać, że rozporządzenie dotyczyć będzie zarówno osoby pro- 
wadzącej zakład fryzjerski, jak i dużej firmy profesjonalnie zajmującej się przetwarza- 
niem danych osobowych — dużych, potężnych koncernów. W związku z tym kary muszą 
być dostosowane zarówno do małych, jak i dużych, natomiast podstawą jest miarko- 
wanie kar. Nikt nie będzie na zakład fryzjerski nakładał kary w wysokości 20 000 tys. 
euro. Przestrzegam przed wsłuchiwaniem się w tego typu absurdalne poglądy, które 
są powielane trochę bezrefleksyjnie. 

To tyle tytułem wprowadzenia. Teraz o tym, dlaczego pracujemy nad ustawami. Dla- 
tego, że rozporządzenie daje państwom członkowskim swobodę w doregulowaniu pew- 
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nych obszarów. Przede wszystkim pozwala na zastosowanie całego szeregu wyłączeń 
do dyspozycji państwa członkowskiego. To jest jeden element. 

Natomiast drugi związany jest z zasadniczą zmianą, z którą mamy do czynienia. 
Zmiana ta polega na tym, że jeśli chodzi o administrację, ewentualne wyłączenia czy 
ewentualne przetwarzanie w sposób szczególny danych osobowych, muszą mieć swoje 
odzwierciedlenie w przepisach ustawy. Dotyczy to oczywiście wszystkich państw człon- 
kowskich. Dlatego też z jednej strony wprowadzamy podstawową ustawę o ochronie 
danych osobowych, dotyczącą także kwestii funkcjonowania organu odpowiedzialnego 
za ochronę danych osobowych w danym państwie członkowskim, a z drugiej strony 
wprowadzamy ustawę — Przepisy wprowadzające, która już sektorowo, w odniesieniu 
do poszczególnych obszarów, będzie poprawiała aspekty wynikające z podstawowej 
zależności; że powinniśmy mieć podstawę, umocowanie w ustawie do ewentualnych 
wyłączeń, odstępstw od rozporządzenia RODO. 

Na jakim jesteśmy w tej chwili etapie i jak wyglądają prace? W tej chwili ustawa 
o ochronie danych osobowych została skierowana do Sejmu. Pan Marszałek nadał numer 
druku i trochę jesteśmy ofiarami obecnego trybu prac w Sejmie. Liczyliśmy, że w kwiet- 
niu i w maju posiedzeń będzie więcej i z całą pewnością uda nam się przyjąć ustawę do 25 
maja. O ile zapowiedzi dotyczące ewentualnego dodatkowego posiedzenia się sprawdzą, 
to jesteśmy na takim etapie, że przy dużym wsparciu państwa posłów, jesteśmy w stanie 
przeprowadzić tę ustawę przez Parlament tak, by mogła ona wejść w życie 25 maja. 

Przy czym chcę też powiedzieć, że jeśli chodzi o ustawę główną, to w tej chwili tylko 
trzy państwa Unii Europejskiej mają przyjęte przepisy. Pan dyrektor mnie poprawi, ale 
chodzi o Niemcy, Austrię i bodajże Czechy. Przepraszam, Słowację. 

Następna grupa państw, to jest około dziesięciu państw, jest na takim samym etapie 
jak my, czyli mają ustawy skierowane do Parlamentu. Reszta jest bardzo daleko z przy- 
jęciem jeszcze podstawowej ustawy. Większość państw — tych z czołówki, tych, które idą 
w pierwszej kolejności — idzie w takim trybie, że przyjmują ustawę zasadniczą, a następ- 
nie będą przyjmowały przepisy zmieniające poszczególne ustawy czy poszczególne akty 
prawne w zależności od tego, jaka jest formuła ustrojowa danego państwa. 

Część z państwa posłów być może miała okazję zapoznać się już z tą ustawą. Ona 
reguluje kwestię wyłączeń przede wszystkim dla administracji, reguluje kwestie funkcjo- 
nowania nowego organu i, jak powiedziałem, mam nadzieję, że jeszcze w tym miesiącu 
będziemy mogli nad nią wspólnie popracować. 

Jeśli chodzi o pakiet przepisów wprowadzających, to sprawa jest trochę bardziej skom- 
plikowana dlatego, że mówimy o konieczności zmian — przeanalizowaliśmy to w miarę 
dokładnie i powinniśmy dokonać zmian w prawie 400 ustawach. Przy czym podjęliśmy 
decyzję, że w pierwszej kolejności skupimy się na ustawach, które rzeczywiście mają 
wielkie znaczenie — nie mówimy tylko o czyszczeniu przepisów — dla uregulowania 
danych obszarów, zapewnienia podstawy prawnej do stosowania odstępstw przez admi- 
nistrację. Te zmiany będą dotyczyły 203 ustaw. Nie jest to też nic specjalnego, że tak 
powiem. Bowiem w Niemczech dokładnie tyle samo ustaw będzie zmienianych w prze- 
pisach wprowadzających. Przy czym, jeśli chodzi o przepisy wprowadzające, to wedle 
naszej wiedzy jeszcze żadne państwo kompletnego pakietu nie wdrożyło. 

Mówię też o tym dlatego, że wszystkie państwa członkowskie, łącznie z Komisją Euro- 
pejską, będą się trochę tego nowego prawa uczyć w trakcie jego wdrażania. To oczywiście 
rodzi pewien obszar niepewności, ale z drugiej strony — daje szansę na ukształtowanie 
pewnej praktyki, która, liczymy na to, będzie bazowała na pragmatyzmie i nie będziemy 
mieli do czynienia cały czas tylko i wyłącznie z sankcjami. Wszyscy będą się w tym pro- 
cesie uczyli. Nie dotyczy to tylko Polski. 

Jeśli chodzi o pakiet, to jesteśmy w tej chwili na etapie skierowania go pod obrady 
Komitetu do Spraw Europejskich Rady Ministrów. Pozostaje on na Komitecie i na 18 
kwietnia planujemy jego rozpatrywanie. Mamy nadzieję, że uda nam się do połowy maja, 
może w drugiej połowie maja, przyjąć ten pakiet przez Radę Ministrów. Chcielibyśmy 
zdążyć z przyjęciem całego pakietu. 

To jest w tej chwili, nie chcę straszyć, ile to jest stron, pan dyrektor mówi, ja tego 
głośno nie powiem, ale dużo. Cały ten pakiet wraz z uzasadnieniem ma 800 stron. 
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Chciałbym, żebyśmy mieli świadomość, ile pracy nas czeka. To też tłumaczy, dlaczego 
tyle czasu nam to zajmuje. Ministerstwo Cyfryzacji jest w tym procesie w pewnej mie- 
rze tylko notariuszem i organizatorem prac, dlatego że dokonujemy zmian w przepisach 
sektorowych, za które odpowiedzialne są poszczególne ministerstwa. Liczymy i chcieli- 
byśmy, żeby pakiet został przyjęty przed wakacjami parlamentarnymi. Jest na to w tej 
chwili szansa. 

To tyle tytułem wprowadzenia i powiedzenia, na jakim etapie prac jesteśmy. Tak jak 
powiedziałem, jesteśmy do dyspozycji i postaramy się udzielić odpowiedzi na pytania 
państwa posłów. Dziękuję bardzo. 


Przewodniczący poseł Paweł Pudłowski (N): 
Bardzo dziękuję, panie ministrze. Jest to już któreś posiedzenie, dotyczące RODO. 
Pamiętam, że chyba prawie rok temu zwracaliśmy uwagę na to, że prosimy o przyspie- 
szenie prac. Ja jako przedsiębiorca muszę państwu powiedzieć, że nie przyjmuję takiego 
wytłumaczenia i obawiam się procedowania znowu pod ogromną presją czasu tak waż- 
nego dokumentu. 

Owe 20 000 tys. euro astronomicznej kary potraktujemy jako symbol. Z dwóch milio- 
nów przedsiębiorców w Polsce większość będzie z przerażeniem przyjmowała nawet karę 
w kwocie 2 tys. zł. Nie ma znaczenia to, że tłumaczymy, że te 20 000 tys. euro to jakaś 
abstrakcja. Jeżeli przedsiębiorca prowadzi działalność opierającą się na zbiorze danych 
osobowych i nie wie do końca, jak będzie działał, to nie możemy mu zostawić tygodnia 
czy dwóch na przygotowanie się do przeprowadzenia tych zmian. To jest po prostu nie- 
poważne, to jest złe traktowanie polskich przedsiębiorców, którzy, przypomnę, generują 
główne PKB w Polsce. Robią to nie firmy państwowe, tylko właśnie mali i drobni przed- 
siębiorcy, którzy działają i którzy będą działali w opresji czasu. 

Zresztą tak samo jak posłowie. Tych 800 stron do przerobienia jakościowego w ciągu 
jednego posiedzenia, bo do tego się to sprowadzi, jeżeli nie będzie dodatkowego posie- 
dzenia i będziemy chcieli zdążyć do 25 maja — to jest po prostu niepoważne traktowanie 
polskich przedsiębiorców. Nie znajduję na to wytłumaczenia, ponieważ, podkreślam — 
jako Komisja zwracaliśmy na to uwagę od ponad roku. Materiał jest nam znany, roz- 
porządzenie Unii Europejskiej jest nam znane. Jest to ważny obszar, który albo został 
przez państwo zaniechany, albo nie znajduję na to wytłumaczenia. Skupianie się bowiem 
na innych rzeczach, które czekają w kolejce na decyzję rządu, raczej nie zostaną skiero- 
wane pod obrady Sejmu... Nieodpowiednie procedowanie tej ustawy jest groźne, niepo- 
trzebne i wprowadzi zamęt. Tak uważam. 

Niemniej jednak, otwieram dyskusję. Pierwszy zgłosił się pan przewodniczący Arndt. 
Bardzo proszę. 


Poseł Paweł Arndt (PO): 

Bardzo dziękuję, panie przewodniczący. Panie ministrze, ja trochę w duchu tego, 
co powiedział pan przewodniczący. Szansa, że do 25 maja zdążymy jest właściwie zni- 
koma. Nawet, jeśli odbyłoby się dodatkowe posiedzenie w kwietniu, to nie wyobrażam 
sobie, żebyśmy mogli przyjąć tak obszerną ustawę podczas jednego posiedzenia. Kolejne 
posiedzenie jest w maju, potem jest jeszcze Senat, pan prezydent, który ma 21 dni. 
W moim przekonaniu szansa na to, żeby przepisy te obowiązywały od 25 maja jest zni- 
koma. 

Teraz pytanie: co się stanie, jeżeli rzeczywiście nie zdążymy uchwalić przepisów tej 
ustawy do 25 maja? To jest jedna rzecz. 

Natomiast przepisy wprowadzające, zmiany owych kilkuset ustaw, o których pan 
minister mówił, są już w ogóle sprawą dość skomplikowaną i złożoną. Mam pytanie, 
czy, tak jak nazwa wskazuje, przepisy wprowadzające nie powinny być uchwalone przed 
ustawą główną, a przynajmniej razem z tą ustawą? Czy ta ustawa będzie mogła obowią- 
zywać, jeżeli przepisy wprowadzające będą daleko w polu? 

Może ostatnia rzecz. Czy panu ministrowi wiadomo, jakie komisje będą pracowały 
nad tym projektem czy projektami? My do tej pory nie mamy bowiem pewności, czy 
projekt trafi do naszej Komisji. 
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Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję, panie przewodniczący. 
Teraz pan poseł Wojciech Bakun, a później pan poseł Marchewka. Bardzo proszę. 


Poseł Wojciech Bakun (Kukiz'15): 


Panie ministrze, ja również myślę podobnie. Kuriozalna jest sytuacja, kiedy bardzo ważne 
przepisy, przepisy, których niespełnienie zagrożone jest poważną sankcją, bo możemy 
mówić, tak jak wspomniał pan przewodniczący Pudłowski, że to jest pewna abstrakcja 
— 20 000 tys. euro kary... Natomiast jest to pewnego rodzaju straszak, bo tak naprawdę 
nigdy nie wiemy, ile ta kara będzie wynosić. 

Inną sprawą jest to, że z doniesień medialnych dochodzą do nas głosy, że minister- 
stwo zamierza wprowadzać przepisy chociażby wyłączające przedsiębiorstwa do 250 
pracowników. Oczywiście z naszego punktu widzenia jest to krok w dobrą stronę, nato- 
miast czy nie zostanie ono zwyczajnie odrzucone przez Unię Europejską jako niezgodne 
z przepisami unijnymi? To jest jedna rzecz. 

Kolejnym problemem jest to, że wszystkie wyłączenia i przepisy wprowadzające, cho- 
ciażby dla organizacji pożytku publicznego, nie tylko dla firm, bo tam są osobne dla 
banków, dla ubezpieczyli czy chociażby dla stowarzyszeń... W tej chwili na rynku funk- 
cjonuje co najmniej kilkaset firm, które proponują szkolenia z RODO. Oczywiście nie 
ma to nic wspólnego z tym, jak będą wyglądały te przepisy, bo nikt nie wie, jak będą 
ostatecznie wyglądały. 

Sytuację mamy naprawdę kuriozalną. Każemy się przygotować przedsiębiorcom, 
stowarzyszeniom, wszystkim na wprowadzenie RODO. Te osoby oczywiście od dłuż- 
szego czasu funkcjonują w abstrakcyjnym otoczeniu, bo posługują się tylko tym, co jest 
w dyrektywie unijnej, a my w tej chwili zmieniamy i doprecyzowujemy. Nie wyobrażam 
sobie, żeby przedsiębiorcy i wszyscy zobowiązani do wprowadzenia RODO do 25 maja, 
na miesiąc przed nie mieli jeszcze jasnych wytycznych, a mówimy o tym, że w zasadzie 
mamy jeszcze tylko jedno posiedzenie do 25 maja. 

Kiedy mamy to przeprocedować? Kiedy mamy zostawiony termin dla Senatu? Kiedy 
mamy zostawiony termin dla pana prezydenta? I jeszcze przepisy wprowadzające, które 
będą jakąś całkowitą abstrakcją, bo do wakacji. 

Myślę, i również z takim samym uzasadnieniem jak panowie przewodniczący i wiceprze- 
wodniczący, nie przyjmuję do końca takiego tłumaczenia, że wszystko się uda. Dziękuję. 


Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję, panie pośle. Pan poseł Arkadiusz Marchewka. Bardzo proszę. 


Poseł Arkadiusz Marchewka (PO): 
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Dziękuję, panie przewodniczący. Panie ministrze, szanowni państwo, kwestia implemen- 
tacji rozporządzenia RODO jest niezwykle istotna, to po pierwsze. Rzeczywiście jednak 
cały proces jego wdrażania wzbudza wiele wątpliwości, szczególnie w kontekście przed- 
siębiorców, którzy wielokrotnie zostali wspomniani we wcześniejszych wypowiedziach. 

Chciałbym przytoczyć kilka faktów i zwrócić uwagę na pewne kwestie, które moim 
zdaniem zostały zaniedbane albo nieprawidłowo zrealizowane. 

Po pierwsze, badania, które przeprowadził generalny inspektor ochrony danych 
osobowych, wskazują, że — są to informacje sprzed ponad miesiąca, ale to są ostatnie 
badania — jedynie 8% przedsiębiorców rozpoczęło jakiekolwiek przygotowania do wdra- 
zania rozporządzenia. Ci przedsiębiorcy zdecydowanie wskazują, że brakuje im pomocy 
ze strony organów władzy publicznej w celu dostosowania się do nowych przepisów. 
Dotyczy to szczególnie: szerszej informacji dla małych firm, które nie wiedzą, w jaki spo- 
sób ogólne rozporządzenie o ochronie danych osobowych znajduje w stosunku do nich 
zastosowanie, edukacji w zakresie nowych obowiązków, omówienia zmienianych w ogól- 
nym rozporządzeniu o ochronie danych osobowych zasad profilowania oraz podejścia 
opartego na ryzyku i rozliczalności, wytycznych odnoszących się do nowych obowiązków 
wyjaśnianych na konkretnych przykładach, komunikacji na temat ogólnego rozporzą- 
dzenia o ochronie danych osobowych w internecie, braku szkoleń on-line, szczególnie 
w formie e-learningu. 
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Jednym z działań, które zostało wdrożone przez Ministerstwo Cyfryzacji, jest stworze- 
nie poradnika elektronicznego. Jest on jedną z niewielu form wsparcia dla przedsiębior- 
ców, dotyczącą tego, w jaki sposób mają oni wdrażać działania. Jednak znajduje się w nim 
przede wszystkim interpretacja przepisów rozporządzenia zamiast tego, w jaki sposób 
krok po kroku przedsiębiorcy powinni podchodzić do tego, aby owe działania wdrażać. 
To są kwestie, które wzbudzają oczywiście wiele wątpliwości. To jest po pierwsze. 

Po drugie, chciałbym zapytać pana ministra o kilka najistotniejszych moim zdaniem 
kwestii, które są zawarte w projekcie nowej ustawy. Pierwszą jest kwestia dotycząca 
generalnego inspektora ochrony danych osobowych i powołania nowego urzędu, tj. 
urzędu ochrony danych osobowych, na czele którego stanie prezes. 

Zastanawiam się, jaki to ma sens, skoro generalny inspektor ochrony danych oso- 
bowych jest kimś, kogo powszechnie rozpoznają przedsiębiorcy i osoby zajmujące się 
ochroną danych osobowych. 80% osób, które się tym zajmują i które biorą udział w bada- 
niu, wskazuje, że GIODO, które te kwestie prowadzi, jest odpowiednim organem, aby 
takie sprawy zgłaszać. 

Zastanawiam się, po co burzyć dobrze funkcjonujący porządek prawny, tylko po to, 
żeby stworzyć nowy urząd. Zostawiam kwestie zatrudnienia ponad 100 nowych osób 
w biurze, to jest kwestia wtórna. Jest to sprawa, która wzbudza moją dużą wątpliwość, 
tj. ustanawianie nowego urzędu w miejscu, w którym funkcjonuje coś, co jest dobrze 
rozpoznawalne i funkcjonuje w przestrzeni publicznej od wielu lat, z czego generalnie 
zdają sobie sprawę przedsiębiorcy i inni zajmujący się ochroną danych osobowych. Nie 
wiem zatem, po co ten porządek burzyć. 

Kolejna jest kwestia wyłączeń. Oczywiście na etapie konsultacji społecznych zapisy te 
nie zostały przedstawione. Dopiero na etapie prac Rady Ministrów zostały wprowadzone 
ograniczenia i zwolnienia organów administracji państwowej z obowiązku informowania 
obywateli, że przekazują między sobą dane osobowe. Moim zdaniem stanowi to ogra- 
niczenie praw osób, których dotyczą dane, a przecież zgodnie z RODO każdy obywatel 
ma prawo być informowanym, co się dzieje z jego danymi. 

Zgadzam się z tym stwierdzeniem, że rzeczywiście np. realizacja obowiązków infor- 
macyjnych dotyczących wykorzystania samej bazy PESEL byłaby bardzo trudna i utrud- 
niałaby zadania władzy publicznej, nie ulega to wątpliwości. Dlaczego w takim razie nie 
można tych obowiązków ograniczyć tylko do bazy PESEL, a zwalniać wszystkie organy 
administracji publicznej? Nie widzę takiego powodu, skoro, tak jak powiedział pan mini- 
ster, każdy kto prowadzi podmiot gospodarczy, np. sklep internetowy czy cokolwiek, musi 
prowadzić taki rejestr. Nie wiem więc, dlaczego organy administracji publicznej miałyby 
być z tego zwolnione, a obywatel nie miał prawa wiedzieć, dlaczego tak się dzieje. 

Uważam, że zwolnienia z obowiązków w tym kontekście wszystkich organów władzy 
publicznej jest wyjściem poza zapisy przewidziane w RODO. Nie gwarantuje to oczywi- 
ście odpowiedniej ochrony i praw osobom, których dotyczą te dane. 

Chciałbym więc pana ministra na początek zapytać o te kwestie. Oczywiście zdaję 
sobie sprawę, że na kolejnym etapie procesu legislacyjnego będziemy rozmawiać o szcze- 
gółowych zapisach — czy to na komisjach czy na sali plenarnej. Myślę jednak, że na pierw- 
szym etapie, kiedy znamy już projekt nowej ustawy, warto poruszyć te najistotniejsze 
i dosyć ogólne kwestie. Dziękuję. 


Przewodniczący poseł Paweł Pudłowski (N): 
Bardzo dziękuję, panie pośle. Zgłasza się pan poseł Paweł Kobyliński. Bardzo proszę. 


Poseł Paweł Kobyliński (N): 

Dziękuję, panie przewodniczący. Szanowna Komisjo, panie ministrze, chciałbym zapy- 
tać pana jako osobę, która pracuje w ministerstwie, czy fakt odwołania pani minister 
Streżyńskiej miał duży wpływ na to, że prace nad ustawą tak się ślimaczą? Dwa — kto 
odpowiada za te opóźnienia? Trzy — jeśli chodzi o przedsiębiorców, czy planujecie pań- 
stwo jakąś karencję w egzekwowaniu rozporządzenia? 

Nie wyobrażam sobie bowiem takiej sytuacji, że ono wejdzie, a my będziemy musieli 
jak zwykle uchwalić to, co rząd... to znaczy my akurat jako opozycja pewnie nie, ale aryt- 
metyka jest bezwzględna. Prawdopodobnie zrobimy dokładnie to, co państwo narzucą 
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większości. Będzie to prawdopodobnie znowu tak, że ostatnim przepisem będzie to, 
że ustawa wejdzie albo następnego dnia po podpisaniu albo w siedem dni, co jest po pro- 
stu dziadostwem, jeśli chodzi o zasady legislacji. Jednak tak już to teraz wygląda. Chciał- 
bym wiedzieć, jak długi będzie okres karencji, czyli to, że po prostu urzędnicy wprost 
odpuszczą egzekwowanie tych przepisów — skomplikowanych, rewolucyjnych. 

Ja się akurat zgodzę, że to jest prokonsumenckie, proobywatelskie, jak by na to nie 
spojrzeć, ale jednak mimo wszystko firmy będą się musiały dostosować. To, co państwo 
zrobiliście to jest po prostu dziadostwo. W jakichś konstytucjach dla biznesu mówicie, 
jak to świetnie będzie teraz przedsiębiorcom, jak to będziecie robić dobry klimat dla biz- 
nesu. Po czym prace te, jeśli znacie przepisy, ślimaczą się jak mało co. Dziękuję bardzo. 


Przewodniczący poseł Paweł Pudłowski (N): 
Dziękuję, panie pośle. Zgłasza się pan przewodniczący Czarnecki. Bardzo proszę. 


Poseł Witold Czarnecki (PiS): 
Chciałbym tylko zwrócić uwagę panu posłowi, że na posiedzeniach naszej Komisji próbu- 
jemy nie używać takich słów jak „dziadostwo”, bo to po prostu nie przystoi, panie pośle. 


Poseł Paweł Kobyliński (N): 
A co to jest? Dziadostwo. 


Poseł Witold Czarnecki (PiS): 
Biorąc pod uwagę fakt, że jesteśmy, według informacji pana ministra, jednak raczej 
na początku tabeli albo w jej środku, to nie jesteśmy zbyt opóźnieni w stosunku do innych 
krajów europejskich. Jak zrozumiałem, dopiero trzy kraje skutecznie wdrożyły te prze- 
pisy. 
I prosiłbym o nieużywanie takich słów jak „dziadostwo”. Dziękuję bardzo. 
Przewodniczący poseł Paweł Pudłowski (N): 
Dziękuję, panie przewodniczący. Czy ktoś z państwa chciałby na tym etapie dyskusji 
zabrać głos? 
Jeśli na razie nie, to pozwolimy panu ministrowi i panu dyrektorowi na odpowiedzi 
bądź ustosunkowanie się do tych uwag. Bardzo proszę. 


Sekretarz stanu w MC Marek Zagórski: 
Oczywiście nie zgodzę się i to fundamentalnie z większością wypowiedzi. Już nie będę 
używał słów, które przed chwilą wypowiedział pan poseł, bo na pewno nie przystoi 
to Wysokiej Izbie. Natomiast, chcę powiedzieć tak, żebyście mieli państwo świadomość 
kilku rzeczy. 

Po pierwsze mówimy o rozporządzeniu, tutaj koryguję, nie o dyrektywie, rozumiem, 
że jest to przejęzyczenie. Rozporządzenie o ochronie danych osobowych wchodzi od 25 
maja i w całym tym procesie były dwa lata, żeby wszystkie podmioty zapoznały się z tym 
rozporządzeniem. Przepisy, jakie wprowadzamy, są przepisami, które mają w jakiś spo- 
sób, w marginesie, na jaki pozwala nam rozporządzenie, złagodzić pewne obciążenia 
w stosunku do administracji w pierwszej kolejności i do przedsiębiorców w kolejności 
drugiej. Ta kolejność jest dowolna. 

Zeby to zrobić, to z uwagi na wrażliwość tego procesu — bo mówimy o ochronie danych 
osobowych — Ministerstwo Cyfryzacji od ponad półtora roku prowadzi szeroko zakrojone 
konsultacje społeczne. Skala tych konsultacji jest spektakularna. Takich konsultacji jesz- 
cze w tym zakresie nie było. Myślę, że wszystkie organizacje pozarządowe, które uczest- 
niczyły w tym procesie, mogą to potwierdzić. 

Dość powiedzieć, że konferencja podsumowująca konsultacje odbyła się w sali kolum- 
nowej Sejmu, uczestniczyło w niej prawie 400 osób — przedstawicieli kilkuset podmiotów, 
a liczba zgłoszonych uwag w tym procesie ze strony organizacji pozarządowych i organi- 
zacji branżowych wyniosła około 700 stron. Zatem, jeżeli ktoś zarzuca nam brak staran- 
ności, to bardzo bym prosił, żeby jednak powstrzymać się z takimi ocenami przed zapo- 
znaniem się z tym procesem. Do tego zresztą zachęcam. Zachęcam do wejścia na stronę 
Ministerstwa Cyfryzacji i zapoznanie się z procesem konsultacji. 
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Z jednej strony jest oczywiście interes przedsiębiorców, których bardzo chcemy chro- 
nić, ale z drugiej strony mamy ochronę obywateli i ich praw. To, na czym nam zależało, 
to wyważenie tych dwóch przeciwstawnych interesów. 

Wreszcie, wiele z tych przepisów musieliśmy konsultować z Komisją Europejską tak, 
żeby nie okazało się później, poniewczasie, że wprowadzamy rozwiązania, które Komisja 
Europejska zakwestionuje. Jednym z takich zapisów była nasza chęć, którą w dalszym 
ciągu podtrzymujemy, wyłączenia przedsiębiorców z całego zakresu obowiązków nakła- 
danych przez RODO. Zatem pomijam już to, że ze strony także posłów opozycji, także 
przedstawicieli partii opozycyjnych mieliśmy informację, kiedy coś takiego się pojawiło, 
że to jest skandal, że co my w ogóle robimy. Przede wszystkim jednak Komisja Euro- 
pejska podniosła, że nie możemy tego zrobić w odniesieniu do małych i średnich firm. 
Próbujemy jeszcze negocjować kwestie zwolnienia mikroprzedsiębiorców. Do tego także 
służy rozdzielenie tych dwóch procesów — żebyśmy mieli więcej czasu na przekonywa- 
nie Komisji Europejskiej, że w przepisach wprowadzających, np. w prawie o działalności 
gospodarczej, spróbujemy wpisać przepisy wyłączające. 

Chcę powiedzieć, jak to jest skomplikowane. Niemcy, którzy przygotowywali taką 
ustawę, poszli — że tak powiem — całą szeroką ławą, jeśli chodzi o wyłączenia dla admi- 
nistracji. Oczywiście, co mówi Komisja Europejska, jak powiedzieliśmy, że chcemy 
zastosować takie same wyłączenia? Mówi: „Nie, nie, to jest w ogóle niemożliwe, dlatego 
że przepisy niemieckie są w ogóle niezgodne z RODO, ale zobaczymy”. Generalnie chcę 
powiedzieć, że cały czas jesteśmy w procesie wykuwania się tego prawa na poziomie Unii 
Europejskiej, także u nas. To po pierwsze. 

Po drugie, informacja dla pana przewodniczącego — 800 stron będą liczyły przepisy 
wprowadzające, a nie ustawa, która już jest w Sejmie. Powiedziałem o tych 800 stronach; 
to nie jest dla nas powód do chwały. Uważam, że to bardzo źle, że musimy przygotować 
taki projekt, który zmienia ponad 200 ustaw. Mówię o przepisach wprowadzających. 
Jednak, tak jak powiedziałem — w Niemczech mają podobnie. To jest w ogóle dyskusja 
na temat tego, jak skomplikowane jest prawodawstwo unijne, jak ono wpływa później 
na nasz proces legislacyjny, na nasze prawo. Tak jest i nie jesteśmy tutaj osamotnieni. 
Nie przytaczam przykładów, które mówią o tym, na jakim etapie są inne państwa euro- 
pejskie, żeby traktować to jako wytłumaczenie, tylko, żeby przypomnieć i pokazać, 
że to jest bardzo skomplikowany proces, którego wszyscy się uczą. 

Teraz jeszcze chwilę o karencji, czy będzie zastosowana karencja, zanim jeszcze 
przejdę do szczegółowych odpowiedzi na inne pytania. Jeśli chodzi o karencję, to trzeba 
na to spojrzeć w ten sposób: wszystkie sankcje, zalecenia, rekomendacje, dotyczące tego, 
jak będzie przebiegała tak naprawdę implementacja RODO będą zależały przede wszyst- 
kim od urzędu ochrony danych osobowych — w każdym państwie członkowskim. Dlatego, 
że to on będzie stosował praktykę. I to on, oczywiście w porozumieniu z innymi orga- 
nami ochrony danych osobowych w państwach członkowskich, w porozumieniu z Komi- 
sją Europejską będzie stanowił praktykę w tym zakresie. 

Nie wyobrażam sobie, żebyśmy w jakimkolwiek państwie członkowskim, w tym 
w Polsce, do czasu wykucia się trochę tej praktyki, mieli do czynienia z jakimś procesem 
specjalnego, rygorystycznego podejścia do przedsiębiorców. Wierzymy w racjonalność, 
chwalonego przez państwa skądinąd za profesjonalizm, GIODO; aczkolwiek jest jeden 
wątek, z którym się nie zgadzam, jednak akurat z tym, że GIODO jest organem profe- 
sjonalnym się zgadzam. Natomiast o tym musimy pamiętać — że ten proces cały czas 
będzie trwał. Praktykę funkcjonowania tego organu ukształtuje także to, w jaki sposób 
przepisy te będą stosowane. 

Pan poseł Arndt pytał, co się stanie, jeśli nie zdążymy do 25 maja. Będzie jakiś czas 
- tydzień być może dwa, zależy jaki będziemy mieli poślizg legislacyjny — w którym 
niektóre przepisy wyłączające RODO nie będą jeszcze obowiązywały. Tak się może 
stać. Natomiast, czy to będzie miało jakieś konsekwencje? Można sobie wyobrazić 
oczywiście takie, że następnego dnia po wejściu RODO w życie pracownicy General- 
nej Inspekcji Danych Osobowych, bo to jeszcze oni będą w takiej sytuacji, rozpoczną 
proces dotkliwego karania przedsiębiorców, że się nie przygotowali. Mówmy jednak 
o rzeczach realnych, a nie lekko absurdalnych. Tak się nie zdarzy. Jeszcze raz pod- 
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kreślam — liczymy na to, że zdążymy. I jeszcze raz chcę powiedzieć, że to, że doszliśmy 
do momentu, w którym mamy ryzyko niezdążenia na czas, wynika z iluś czynników, 
jakie się na to złożyły, także długotrwałego procesu konsultacji, bo chcieliśmy to zrobić 
jak najlepiej. 

Aczkolwiek pełna zgoda i przyjmuję na siebie odpowiedzialność, że nie jest to naj- 
lepsza i najbardziej idealna sytuacja. To, że w innych państwach wygląda to tak, a nie 
inaczej na pewno nas nie tłumaczy. 

Nie wiem też, jakie komisje będą nad tym pracowały. To bardziej pytanie do prezy- 
dium Sejmu, do jakich komisji skieruje. Byłbym oczywiście bardzo zadowolony, gdyby- 
śmy mogli nad tym pracować razem z państwem, ale decyzja będzie prezydium Sejmu. 

Jeszcze raz powtórzę. Jeżeli ktoś mówi, że przedsiębiorcy nie wiedzą, jak będzie wyglą- 
dało to prawo, to mówię jeszcze raz, że o tym, jakie będzie prawo wiadomo od dwóch lat. 
Rozporządzenie wchodzi. Tutaj mówimy o tym, co nam się uda ewentualnie poprawić. 

Przygotowaliśmy cały zestaw materiałów. Jest przewodnik, o którym mówił pan poseł 
Marchewka, podobny przewodnik przygotowało Ministerstwo Przedsiębiorczości i Tech- 
nologii. W ostatnim czasie praktycznie raz w tygodniu pan dyrektor Kawecki ma tele- 
konferencję w ramach videostreamingu dla wszystkich, którzy zapiszą się na stronie 
internetowej. W zasadzie nie wychodzi z mediów. Ostatnio nawet mu zabroniłem poka- 
zywania się tak często, dlatego że oprócz informowania, musimy też pracować. 

Chcę też powiedzieć, że nie tylko minister cyfryzacji jest odpowiedzialny za proces 
informowania i komunikacji, także generalny inspektor ochrony danych osobowych, 
który też prowadzi taki proces informacyjny. Na pewno nie jest to poziom wystarczający, 
zdajemy sobie z tego sprawę. Nigdy bowiem dość informacji. 

Co do tego, o co pytał pan poseł Marchewka, tj., dlaczego zmieniamy dobrze funkcjo- 
nujący urząd. Zatem potrzebę zmian wymusza częściowo samo rozporządzenie. Zmie- 
nia się także charakter organu. W tej chwili organ funkcjonuje w modelu zbliżonym 
do rzecznika praw obywatelskich. Natomiast po wejściu w życie tych przepisów będzie 
to, poprzez analogię, bardziej model Urzędu Ochrony Konkurencji i Konsumentów. 
Stąd też potrzeba dokonania takich zmian. Przy czym to też jest tak, że potrzebna jest 
poprawa funkcjonowania urzędu jako takiego. O ile dobrze pamiętam, rozmawialiśmy 
kilkukrotnie z państwem na posiedzeniach Komisji o przewlekłości postępowań, które 
są prowadzone przez GIODO. My ten proces, także w tej ustawie, chcemy usprawnić. 
Wprowadzamy cały szereg przepisów, łącznie ze skróconym okresem, w którym sprawa 
ma być rozpatrzona. W związku ztym, zmiany dotyczące urzędu są bezwzględnie 
potrzebne. Natomiast w toku dyskusji, które się toczyły, myślę, że całkowicie i w sposób 
jednoznaczny zostały już wyeliminowane wszelkie zarzuty, że mamy ochotę zamachnąć 
się na niezależność organu. Jesteśmy także w dialogu z Komisją Europejską. Myślę więc, 
że tutaj tego problemu już nie będzie. 

Natomiast, jeśli chodzi o wyłączenia, o których jest mowa w ustawie, to jeszcze raz 
przywołam przykład niemiecki. W Niemczech te wyłączenia są dużo, dużo większe 
od tych, które zastosowaliśmy. Jednocześnie wynika to także z praktyki, o której mówił 
pan poseł. PESEL nie jest jedynym rejestrem. Gdybyśmy mieli tylko jeden PESEL, to być 
może myślelibyśmy o bardzo jednostkowym wyłączeniu. Tymczasem tych spraw może 
być dużo więcej, łącznie z takimi historiami, że dane osobowe były gromadzone kiedyś 
jeszcze w wersjach papierowych, są zawarte w aktach papierowych. Teraz każdorazowo 
na przykład uzyskiwanie zgody przez administrację na pobieranie tych danych byłoby 
kłopotliwe dla administracji, ale przede wszystkim dla obywateli. O tym też pamiętajmy. 

Wydaje mi się, że na tym etapie to tyle. 


Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję. W kolejności zgłoszeń — bardzo proszę. Proszę się przedstawić, podać 
organizację, z której panowie są, i przedstawić swój punkt widzenia. Dziękuję. 


Zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodo- 
wej w Biurze GIODO Piotr Drobek: 


Dziękuję bardzo, panie przewodniczący. Wysoka Komisjo, Piotr Drobek. Kieruję zespo- 
łem koordynującym wdrożenie RODO w Biurze Generalnego Inspektora Ochrony 
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Danych Osobowych. Bardzo przepraszam, że z pewnym opóźnieniem, ale miałem pewne 
problemy przy wejściu. 

Jeśli chodzi o opóźnienie z przyjęciem i wejściem w życie nowej ustawy o ochronie 
danych osobowych, to chciałem bardzo podziękować panu ministrowi za przypomnie- 
nie, że RODO jest rozporządzeniem unijnym, stosuje się je bezpośrednio, treść RODO 
znamy już od ponad dwóch lat. To powinien być punkt wyjścia. W tym sensie, że jeśli 
chodzi o obowiązki oraz uprawnienia osób, niezależnie od tego, czy ta ustawa zostanie 
przyjęta i wejdzie w życie, to i tak obowiązki te będą bezpośrednio wynikały z RODO. 
W tym sensie ważniejszy jest cały proces przygotowania się; ten proces nie powinien się 
skończyć 25 maja. 

Jednakże opóźnienia związane z wejściem w życie ustawy o ochronie danych, która 
— przypomnijmy — w dużym stopniu zawiera przepisy proceduralne, dotyczące przede 
wszystkim różnych procedur toczących się przed organem ochrony danych osobowych, 
niewątpliwie będą utrudniały stosowanie RODO w Polsce. Nawet, jeżeli będzie to kilka 
dni, pojawiają się pewne problemy, które może nie są bezpośrednio problemami organu 
ochrony danych. Zostałem poproszony przez panią minister, żeby wyraźnie zako- 
munikować, że nawet w przypadku braku regulacji, będziemy robili wszystko, żeby 
swoje kompetencje, które wynikają wprost z rozporządzenia, realizować tak, żeby nie 
można było zarzucić Polsce niewdrażania RODO.W dużym stopniu widzimy rozwiąza- 
nia. Będziemy się odwoływali do zasad ogólnych, które w polskim prawie funkcjonują 
i do których będziemy mogli się odwoływać poprzez obecne przepisy ustawy o ochronie 
danych osobowych. 

Jednakże musimy pamiętać o tym, że projektowana ustawa wprowadza przepisy 
przejściowe. Opóźnienie spowoduje konsekwencję dla adresatów tych przepisów przej- 
ściowych. Chciałem zwrócić uwagę na kilka przykładów. 

Po pierwsze mamy w tej chwili instytucję administratora bezpieczeństwa informacji. 
Jest to osoba wyznaczona np. u przedsiębiorcy bądź w urzędzie publicznym, która nad- 
zoruje przetwarzanie danych osobowych. To taki specjalista, który pomaga administra- 
torowi danych w zakresie monitorowania przestrzegania przepisów w organizacji. By nie 
nakładać dodatkowych obowiązków administracyjnych, z naszej inicjatywy w projekto- 
wanych przepisach pojawił się taki mechanizm, żeby dotychczasowi ABI, czyli admini- 
stratorzy bezpieczeństwa informacji, którzy, przypominam, od 2015 r. są powoływani 
dobrowolnie, zostali zastąpieni przez inspektorów ochrony danych. W tym wypadku 
RODO wymaga od niektórych kategorii podmiotów powołania ich. Jest to obowiązek, 
który dotyczy całego sektora publicznego. Zatem przechodzimy z modelu dobrowolności 
na model obowiązkowy. 

Teraz, żeby nie dodawać dodatkowych wymogów formalnych, związanych z tym, 
że trzeba na nowo powoływać te osoby, projektowane przepisy przewidują mechanizm 
przejścia z mocy prawa dotychczasowych administratorów bezpieczeństwa i stanie się 
inspektorami ochrony danych — przez określony czas. Jednocześnie przepisy te przewi- 
dują, że wszędzie tam, gdzie dotąd nie było powołanego administratora bezpieczeństwa 
informacji, a RODO wprowadza obowiązek wyznaczenia inspektora ochrony danych 
i to jest dosyć duża grupa, ten obowiązek nie musi być spełniony w dniu 25 maja, tylko 
do 31 lipca. 

I teraz: brak przepisów przejściowych spowoduje, że 25 maja te obowiązki trzeba 
będzie spełnić. W tym sensie jest to bardzo praktyczny aspekt, na który chciałbym zwró- 
cić uwagę. Nie wspominam już o takich elementach, które wiążą się z tym, że bardzo 
duża część postępowań, jakie toczą się przed generalnym inspektorem, będzie podlegała 
umorzeniu. Projektowane przepisy przewidują umorzenie z mocy prawa tak, aby nie 
trzeba było wydawać decyzji o umorzeniu postępowania. 

Przypomnę, że rocznie zgłoszeń zbiorów danych osobowych - tego obowiązku już nie 
będzie — jest około 20 tys. Do czasu przyjęcia ustawy, która przewidywałaby, że postę- 
powanie umarza się z mocy prawa, trzeba będzie wydawać decyzje umarzające postępo- 
wanie. Przepraszam, że zwracam uwagę na takie praktyczne aspekty, o których powin- 
niśmy pamiętać. Chodzi o to, że urząd teoretycznie, w zależności od tego, jak długi 
to będzie okres, będzie musiał te 20 tys. - może mniej, np. kilkanaście tysięcy — decyzji 


d.ch. 


d.ch. 
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wydać tylko po to, żeby potwierdzić, że postępowanie, np. rejestracyjne, nie będzie dalej 
prowadzone. To są aspekty, na które chciałbym zwrócić uwagę. Z perspektywy większo- 
ści administratorów obowiązki wynikają już rzeczywiście bezpośrednio z RODO. 

Chciałbym zwrócić uwagę na jeszcze jeden aspekt. Wiąże się on z działaniami infor- 
macyjnymi czy też wzmocnieniem roli organu ochrony danych osobowych. Jeżeli przyj- 
rzelibyśmy się dokładnie konstrukcji funkcjonowania organu obecnie i w nowych przepi- 
sach, to zauważymy, że w istocie ta zmiana polega na zmianie nazwy. Jeśli chodzi o zada- 
nia i możliwości, to pojawiały się nowe kompetencje, które wynikają po prostu z RODO. 
Zeby się przygotować do tych zadań, państwa członkowskie są zobowiązane do wyposa- 
żenia organów ochrony danych osobowych we właściwe środki. Srodki te zostały zapro- 
ponowane w budżecie przygotowanym przez generalnego inspektora ochrony danych 
osobowych na ten rok. Decyzją Sejmu część dotycząca wdrożenia, między innymi RODO, 
ale również tzw. dyrektywy policyjnej, została przeniesiona do rezerwy celowej. 

Mamy teraz problem faktyczny, który wiąże się z opóźnieniem wejścia w życie tej 
ustawy. Niestety na ten moment jakakolwiek możliwość wykorzystania tych środków 
została uzależniona od wejścia w życie ustawy krajowej o ochronie danych osobowych. 
Zatem de facto dodatkowe działania, które wymagają — mówimy tutaj o działaniach infor- 
macyjnych, które są czymś więcej niż tylko przygotowaniem informatorów i udziałem 
naszych pracowników w różnych konferencjach, co staramy się robić... Jakakolwiek 
działalność wymagająca wydatkowania dodatkowych środków, które nie dotyczą bieżącej 
działalności, będzie możliwa dopiero wtedy, kiedy ustawa wejdzie w życie i Ministerstwo 
Finansów zgodzi się na wydatkowanie tych środków. To jest taki problem bardziej orga- 
nizacyjny, związany z tym, jak faktycznie jesteśmy w stanie wdrożyć przepisy RODO. 

Na koniec chciałbym zwrócić na pozytywny aspekt opóźnienia. Pakiet legislacyjny, 
który został przyjęty w 2016 r., obejmuje nie tylko RODO, czyli ogólne rozporządzenie 
o ochronie danych, ale również dyrektywę 2016/680. Dotyczy to organów, które prze- 
twarzają dane w związku z szeroko rozumianymi postępowaniami karnymi. W tej chwili 
dyrektywa ta powinna być wdrożona do 6 maja. To jest dyrektywa, czyli wymagany jest akt 
prawny w prawie krajowym. W sytuacji konstrukcji zaproponowanej w projekcie ustawy 
o ochronie danych osobowych, mamy taki mechanizm, w którym uchyla się dotychczasową 
ustawę o ochronie danych osobowych. Przyjęcie tej ustawy powoduje, że nie ma material- 
no-prawnych przepisów o ochronie danych osobowych, które obejmowałyby obszar objęty 
zakresem przedmiotowym i podmiotowym tzw. dyrektywy policyjnej. 

W związku z tym, że nie ma jeszcze projektu ustawy, która wdrażałaby dyrektywę, 
to w momencie przyjęcia ustawy właśnie w takim brzmieniu mielibyśmy sytuację 
luki. Mielibyśmy obszar, w którym nie byłoby regulacji o ochronie danych osobowych. 
To ma daleko idące konsekwencje, bo nie jest to tylko kwestia czysto formalna. Istnienie 
tych przepisów jest warunkiem udziału Polski w strefie Schengen. Istnienie tych przepi- 
sów jest warunkiem współpracy Polski w ramach Europolu, udziału Polski w systemie 
wymiany informacji WIS, Eurodac i innych systemów wielkoskalowych prowadzonych 
przez Unię Europejską. 

Aby uniknąć tego ryzyka, opóźnienie w jednej ustawie powoduje, że nie wdrożono 
do końca tych nowych przepisów, ale są przepisy o ochronie danych osobowych. Nie 
można Polsce zarzucić luki. W tym sensie mamy gwarancje, które dotąd były akcep- 
towane przy wszelkiego rodzaju ewaluacjach. Zwracam uwagę też na ten aspekt, 
bo na pewno w dalszych pracach nad ustawą o ochronie danych osobowych, biorąc pod 
uwagę kalendarz, należy zwrócić uwagę na być może konieczność utrzymania w mocy 
dotychczasowych przepisów w tym zakresie, przepisów materialno-prawnych w zakresie 
ochrony danych osobowych. 

To już jest, proszę państwa, problem wykraczający poza ochronę danych osobowych. 
Jeszcze raz chciałbym zwrócić uwagę też na to, że mówimy tutaj nie tylko o kwestiach 
stricte dotyczących ochrony danych osobowych, ale o warunkach korzystania z różnego 
rodzaju systemów, które znowuż są elementem udziału Polski w mechanizmach przewi- 
dzianych przez prawo europejskie. Dziękuję bardzo. 
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Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję. Teraz pan, a później poproszę panią przewodniczącą Bubulę, która 
zgłasza się do głosu. Bardzo proszę. 


Wiceprezes Polskiej Izby Radiodyfuzji Cyfrowej Jacek Kosiorek: 


Jacek Kosiorek z PIRC. Chciałem zwrócić uwagę na parę aspektów technicznych wdro- 
żenia RODO, gdyż na wielu konferencjach, na których miałem przyjemność być, osoby 
techniczne zastanawiały się, jak chronić informację zawartą na serwerach, komputerach 
i związanych z tym zawartych tam informacji, jak zabezpieczać je przed skasowaniem, 
wyjęciem z tych komputerów. 

Muszę powiedzieć jedną rzecz. Aspekt związany z ochroną systemów komputerowych 
i zawartych na nich danych jest bardzo skomplikowany i trudny. Jest to droga przez 
mękę, gdyż, jak stwierdzili informatycy, wyjęcie danych jest kwestią dobrego technika 
oraz tego, jak długo nad tym posiedzi, jak długo zajmie mu włamanie się do danego sys- 
temu. Swietny jest przykład rynku niemieckiego. Pytanie tylko, czy Niemcy są przygoto- 
wani czy tylko powiedzieli, że są przygotowani do RODO. Przykład struktur rządowych, 
gdzie ktoś grzebie w systemach rządowych i pytanie, czy to jest naruszenie RODO czy 
niekoniecznie. 

Takie pytanie techniczne: jak chronić końcówkę kabla? Zakładamy, że coś jest na tej 
końcówce kabla — czy jest podłączony serwer, router. Jest końcówka kabla — jak ją chro- 
nić? RODO porusza też ewentualny temat końcówki kabla. Mogę mówić o tym dużo. 
Aspekt ochrony informacji zawartych na serwerach i backupów, wszelkiego typu innych 
rzeczy — może się okazać za chwilę, że Polska jest przygotowana do RODO lepiej niż nam 
się wydaje. 

Rozdrobnienie technologiczne i pewnego typu różne technologie różnych małych pod- 
miotów telekomunikacyjnych dają dużo trudniejszą skalę naruszenia różnego typu infor- 
macji i mniejszą skalę utraty danych niż na przykład włamanie się do jednego dużego 
podmiotu zawiadującego dużo większą bazą danych, dużo większą bazą klientów i pre- 
ferencji oraz wszelkiego typu innych rzeczy, które dana firma pozbierała sobie w ramach 
prowadzenia działalności. 

Nie chciałbym państwa zanudzać. Temat jest dość trudny i skomplikowany. Myślę, 
że rozmowy, które prowadziliśmy na konferencjach, są dość istotne. Był taki świetny 
przykład. Ktoś się włamuje do komputera danej firmy, przychodzi z plikiem danych 
nagranym na nośnik przenośny i mówi: „Zapłaćcie mi 100 tys. zł i nie zgłoszę do RODO 
utraty waszych danych”. Co z tym zrobić? Dana firma ma pójść do RODO i sama się 
podłożyć czy niekoniecznie? 

Nie będę rozwijał tego tematu, bo jest to temat strasznie trudny, także dziękuję. 


Przewodniczący poseł Paweł Pudłowski (N): 


Dziękuję bardzo. Pani przewodnicząca Barbara Bubula. Bardzo proszę. 


Poseł Barbara Bubula (PiS): 
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Panie przewodniczący, panie ministrze, szanowni państwo, wydaje mi się, że kluczowym 
zagadnieniem jest tutaj nie tylko kwestia czasu, o czym mówili państwo w pierwszej czę- 
ści dyskusji, ale również zagadnienie wyłączenia spod rygorów ustawy najdrobniejszych 
przedsiębiorstw. Pan minister powiedział bowiem, że są dwie wartości w tym rozporzą- 
dzeniu, które próbujemy jakoś zrównoważyć. Z jednej strony przedsiębiorczość, z drugiej 
— prawo ludzi do ochrony ich danych osobowych. 

Wydaje mi się jednak, że są trzy strony. Mianowicie nie należy do jednego worka wrzu- 
cać wielkich firm typu wielomiliardowe globalne korporacje i drobnych przedsiębiorstw, 
które mają dwu-, trzy- czy czteroosobowy skład osobowy; czy nawet, jeśli będzie to przed- 
siębiorstwo liczące 30 czy 40 pracowników. Nałożenie tego typu ciężarów oczywiście 
spowoduje nierównowagę konkurencyjną. To znaczy znowu większy przywilej będzie 
po stronie tych wielkich, ponieważ oni będą w stanie wdrożyć bardzo rygorystyczne prze- 
pisy. Ci mniejsi pod groźbą bardzo dużej kary i procedur, jakie zostają tutaj uruchomione, 
będą w dużo gorszej sytuacji, łącznie z tym, że będą musieli zamknąć swoją działalność, 
np. zagrożeni jakąś kontrolą czy procedurą, której nie będą mogli wprowadzić. 


d.ch. 
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Stąd wydaje mi się, że zasadnicze jest następujące pytanie. Słyszymy od pana ministra, 
że Niemcy np. dużo szerzej wprowadzili zwolnienia dotyczące administracji państwowej. 
Komisja Europejska, czy nie wiem kto na szczeblu Unii Europejskiej, powiedział, że zro- 
bili to niezgodnie z rozporządzeniem. Co by się stało, gdybyśmy my zrobili to niezgodnie 
z rozporządzeniem i ochronili firmy, może nie do 250 pracowników, a np. do 50 pracow- 
ników? Takich firm działających w naszym kraju jest przecież mnóstwo. 

Może podejmijmy taką próbę? Nie można bowiem wprowadzać sytuacji, w której 
tak ogromna rzesza ludzi będzie działała w niepewności. Chodzi o to, że będzie przepis, 
o którym ktoś po cichu powie, że może go nie będzie wprowadzał. Tymczasem wystarczy 
donos wielkiego konkurenta, któremu przeszkadza firma, np. sklep internetowy, którego 
nie lubi, bo podkrada mu klientów i już będziemy mieć sprawy o naruszenie RODO, 
bo jakiś sklep internetowy nie spełnił wymogu. 

Jestem bardzo gorącą zwolenniczką ochrony danych osobowych, natomiast widzę, 
że to rozporządzenie... przypominam kolegom z opozycji, zwłaszcza z Platformy Obywa- 
telskiej, że nieszczęsne rozporządzenie było negocjowane za rządów Platformy Obywa- 
telskiej. Jego treść została przyjęta w trakcie rządów Platformy Obywatelskiej. Uważam, 
że wtedy popełnione były błędy związane z tym, że nie powalczono o interesy małych 
i drobnych przedsiębiorców. Dziękuję bardzo. 


Przewodniczący poseł Paweł Pudłowski (N): 


Dziękuję, pani przewodnicząca. Zgłasza się pani, później pan poseł Marchewka, a później 
pani, pani i pan, dobrze? 


Członek zarządu Stowarzyszenia ISACA Warszawa Joanna Karczewska: 


d.ch. 


Dzień dobry państwu, nazywam się Joanna Karczewska, jestem ze Stowarzyszenia 
ISACA Warszawa. Reprezentuję osoby, które bezpieczeństwem informacji i ochroną 
danych osobowych zajmują się od zawsze. Są to osoby certyfikowane certyfikatami waż- 
nymi na całym świecie. Takie kwestie jak systemy informatyczne oraz to, jak je chronić, 
mamy w małym palcu. 

Chciałabym poruszyć kilka kwestii, które bardzo nas niepokoją. Pragnę zaznaczyć, 
że nasze stowarzyszenie wyjątkowo zaangażowało się w propagowanie wiedzy o ochro- 
nie danych osobowych według nowego porządku, czyli według RODO. Organizujemy 
spotkania otwarte, angażujemy się też w różne konferencje, wydaliśmy grę „RÓDO” - 
tak, żeby jak najszerszy krąg osób mógł się zaznajomić z zasadami zawartymi w nowym 
rozporządzeniu. 

To, co nas wyjątkowo niepokoi to fakt, że temat został przejęty przez prawników. 
Nie ma żadnych konsultacji z informatykami — z ludźmi, którzy na co dzień zajmują się 
bezpieczeństwem informacji. Co z tego wynika? Chociażby wypuszczanie wspomnianych 
już poradników, w których są zawarte bądź bardzo zdawkowe informacje, dotyczące kwe- 
stii informatycznych, bądź w ogóle są one pomijane. Skupienie jest tylko i wyłącznie 
na kwestiach prawnych, bo prawnicy znają się na prawie, a niestety nie na zagadnie- 
niach informatycznych. 

Drugą rzeczą jest kwestia, która wyniknęła niedawno. Zostało mylnie przetłuma- 
czone rozporządzenie, szczególnie art. 28 i 29. Tam „documented instructions” prze- 
tłumaczono jako „udokumentowane polecenia”. W tej chwili prawnicy interpretują te 
polecenia jako dodatkowe upoważnienia dla pracowników podmiotów przetwarzających, 
a nie jako instrukcję dla samego podmiotu przetwarzającego. Dokonaliśmy bardzo sta- 
rannej analizy w naszym stowarzyszeniu i zadziwiło nas, że można aż tak błędnie inter- 
pretować coś, co w innych państwach Unii Europejskiej odbierane jest jednoznacznie. 
Udostępnię na żądanie każdemu interpretację hiszpańskiego organu nadzoru. 

Kolejna kwestia. Właśnie dlatego, że nasze stowarzyszenie bardzo się zaangażo- 
wało w propagowanie wiedzy, w tym szczególnie ja, to obserwuję bacznie to, co robią 
inne organy nadzoru. Jest dla mnie niezrozumiałe, dlaczego nasze wiodące instytucje 
nie korzystają z bardzo dobrych materiałów innych organów nadzoru, dostępnych już 
od roku czy półtora. Wystarczy tylko je przetłumaczyć i udostępnić. Koronnym przy- 
kładem jest darmowa aplikacja francuskiego organu nadzoru do przeprowadzania 
oceny skutków dla ochrony danych. Darmowa, dostępna w języku polskim. Osobiście 
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ją tłumaczyłam za darmo. Sama aplikacja też dostępna jest za darmo. Próżno szukać 
o tym informacji na stronach naszych wiodących instytucji, a wiedzą o tym, bo informo- 
wałam o tym. Jest gotowe narzędzie. Ci, którzy już z niego skorzystali, mówią, że jest 
bardzo przydatne. Myślę szczególnie o samorządach, które nie mają pieniędzy. Przede 
wszystkim z myślą o nich to przetłumaczyłam. Poświęciłam swój osobisty czas, zrobiłam 
to pro publico bono. Różne poradniki, chociażby dla małych przedsiębiorstw, również 
są dostępne. Wystarczy przetłumaczyć. 

Nie dalej jak wczoraj oglądałam to, co przygotował brytyjski organ nadzoru. To jest 
kwestia naprawdę 2-3 dni i ten sam podręcznik jest dostępny w języku polskim. Skoro 
w ramach harmonizacji wszystkich nas będzie obowiązywać to samo prawo, to nie, tylko 
korzystać, a nie czekać na ostatnią chwilę. A później się okazuje, że to, co się w końcu 
ukazuje jest albo lakoniczne albo wręcz z błędami. Mam tutaj taki przykład. Pragnę 
bowiem zaznaczyć, że w materiale GIODO w rejestrze czynności jest odniesienie do kas 
chorych, których to już chyba od dawna nie ma. Zatem pojawiają się nawet błędy. 

Ostatnią rzeczą, którą zrobiliśmy jako stowarzyszenie właśnie po to, żeby propago- 
wać wiedzę o zasadach RODO, jest przyjęcie jawnego sposobu przygotowania naszego 
stowarzyszenia do RODO. Były omawiane przygotowania. My opublikujemy na naszej 
stronie rejestr czynności naszego stowarzyszenia oraz naszą politykę bezpieczeństwa 
informacji. Właśnie po to, żeby pokazać, jak to się robi. Oczekuję, że takie wzory się 
pojawią — ale rzetelne wzory, a nie odnoszące się do kas chorych — na innych stronach. 

Pragnę zwrócić uwagę, że chociażby europejski organ nadzoru propaguje udzielanie 
takich informacji, wywieszanie zarówno rejestrów czynności, jak i analiz DPiA. To jest 
zalecenie, które kierują oni do jednostek unijnych — do wszystkich agend i dyrektoriatów. 
Równie dobrze można to przyjąć tutaj właśnie po to, żeby ratować małe i średnie przed- 
siębiorstwa oraz mikroprzedsiębiorstwa, sama jestem mikroprzedsiębiorcą, a także sto- 
warzyszenia i biura poselskie, które też są objęte RODO. Dziękuję. 


Przewodniczący poseł Paweł Pudłowski (N): 


Dziękuję bardzo. Poseł Arkadiusz Marchewka, bardzo proszę. 


Poseł Arkadiusz Marchewka (PO): 
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Dziękuję, panie przewodniczący. Panie ministrze, chciałbym zwrócić uwagę na kwestię, 
która została wskazana przez przedstawiciela generalnego inspektora ochrony danych 
osobowych w kontekście braku wprowadzenia, czy też działań związanych z wprowa- 
dzeniem tzw. dyrektywy policyjnej. Według harmonogramu te przepisy również powinny 
zacząć obowiązywać w maju, a może nawet wcześniej, bo chyba 6 maja. Można powie- 
dzieć, że dyrektywa policyjna jest drugim elementem reformy danych osobowych. 

Jeżeli mówimy o tym, co się dzieje u naszych zachodnich sąsiadów, to Niemcy już 
przepisy związane z wprowadzeniem dyrektywy policyjnej wdrożyły. Myślę, że jest 
to niezwykle istotne z tego punktu widzenia, że skoro zostanie uchylona ustawa z 1997 r. 
o ochronie danych osobowych, to jest duże ryzyko powstania ogromnej wyrwy w syste- 
mie ochrony danych i np. instytucje takie jak policja nie będą zobowiązane do przestrze- 
gania tych zasad, bo nie będzie funkcjonować ustawa. 

Panie ministrze, wiem, że leży to bardziej po stronie Ministerstwa Spraw Wewnętrz- 
nych i Administracji, ale czy w związku z tym, że rząd pracuje nad tymi działaniami, 
istnieje jakaś koordynacja dwóch procesów? Czy można powiedzieć, że oba te działa- 
nia są ze sobą powiązane? Czy też raczej jest tak, że wy, jako Ministerstwo Cyfryzacji, 
robicie swoje, a MSWiA robi swoje? Nie wiem, czy cokolwiek robi. Nie chcę powiedzieć, 
że niczego nie robi, ale chyba nie ma nawet żadnego projektu wskazanego do dzisiaj. Nie 
ma odpowiedzi na interpelację, przekraczane są terminy i w sumie istnieje rzeczywiście 
duże ryzyko. To jest duży problem, którym powinniśmy się zająć, jak myślę, na wspól- 
nym posiedzeniu obu Komisji. 

Zgłaszam taki postulat panu przewodniczącemu, abyśmy spróbowali odbyć takie 
posiedzenie związane właśnie z tą kwestią. Jeżeli okaże się, że jest duża wyrwa w syste- 
mie, bo jedna ustawa wchodzi w życie, a ta z 1997 r. przestaje być obowiązującą, to rodzi 
się zasadnicze pytanie, czy to wszystko zostało dobrze skoordynowane. 


d.ch. 
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Panie ministrze, czy istnieje jakiś proces zależności prac nad dwoma projektami 
ustaw? Myślę, że jest to niezwykle istotne, a to, co powiedział przedstawiciel GIODO, 
jest moim zdaniem dużym zagrożeniem, na które powinniśmy zwrócić szczególną uwagę. 
Dziękuję. 


Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję. 
Najpierw pani, bardzo proszę. Nie widzę pani, ale pani, tak. 


Przedstawiciel Fundacji Panoptykon Karolina Iwańska: 


Dziękuję bardzo, Karolina Iwańska, Fundacja Panoptykon. Mam w zasadzie trzy sprawy. 

Pierwsza jest taka, że chciałabym nawiązać do wypowiedzi pani przewodniczącej 
odnośnie do mikroprzedsiębiorców. Z lekkim niepokojem przyjęłam zapowiedź, że takie 
wyłączenia się pojawią, natomiast chciałabym uzyskać odpowiedź, czy owe wyłączenia 
będą miały kształt taki jak w poprzedniej wersji projektu, w sensie częściowego ograni- 
czenia obowiązku informacyjnego, a nie całościowego zwolnienia tej grupy przedsiębior- 
ców z RODO. Bowiem to byłoby już bardzo niebezpieczne. 

Drugą rzeczą jest to, że bardzo się cieszę, że poruszona została już dwukrotnie kwe- 
stia dyrektywy policyjnej. Jeżeli już przewidywane jest opóźnienie we wprowadzaniu 
ustawy o ochronie danych osobowych, to te dwa procesy powinny być jakoś ze sobą sko- 
ordynowane, tak żeby, tak jak mówił już pan poseł, nie było żadnej wyrwy w systemie 
ochrony danych osobowych. 

Trzecia kwestia dotyczy już bardziej sektora, który reprezentuję, czyli organiza- 
cji społecznych. Chodzi mianowicie o implementację art. 80 RODO, który przewiduje 
uprawnienia dla organizacji społecznych do uczestniczenia w różnych postępowaniach, 
dotyczących naruszeń praw podmiotów danych. W obecnej wersji projektu mamy tylko 
i wyłącznie przepisy dotyczące postępowań administracyjnych i sądowo-administracyj- 
nych, natomiast nie zostały przyznane organizacjom społecznym żadne uprawnienia 
w przypadku postępowań cywilnych, które również wprowadza rozporządzenie. Jest 
to pewne novum, bo do tej pory sądy cywilne nie miały nie wspólnego z ochroną danych 
osobowych. 

Uważam, że przyznanie chociażby możliwości wstąpienia organizacji do takich postę- 
powań podczas nowelizacji art. 61 Kodeksu postępowania cywilnego będzie korzystne 
nie tylko dla danych podmiotów danych, ale również dla sądów cywilnych, które do tej 
pory nie zajmowały się ochroną danych. Dziękuję bardzo. 


Przewodniczący poseł Paweł Pudłowski (N): 


Dziękuję bardzo, bardzo proszę. 


Przedstawiciel Konfederacji Lewiatan Aleksandra Piotrowska: 


d.ch. 


Dzień dobry, witam państwa, Aleksandra Piotrowska, dzisiaj z ramienia Konfederacji 
Lewiatan i spółki ODO 24. 

Proszę państwa, prowadzę procesy wdrożeniowe od strony praktycznej. Prowa- 
dzę kilka podmiotów, zespołów wdrożeniowych. Wdrożenie rozporządzenia wiąże się 
z ogromnym nakładem pracy i nie jest możliwe do zrobienia jednoosobowo. Do tego 
potrzeba zespołu ludzi. Koniecznie też wiąże się z dużymi nakładami finansowymi. 

To, co chciałam powiedzieć, to fakt, że od strony praktycznej jako wdrożeniowca, bar- 
dziej oczekuję np. na przepisy zmieniające niż na samą ustawę o ochronie danych osobo- 
wych. Dlaczego? Dlatego, że to właśnie przepisy zmieniające będą się dla mnie wiązały 
z koniecznością wykonania kolejnych, ewentualnych dodatkowych obowiązków lub cho- 
ciażby zweryfikowania czy to, co mam, jest zgodne z przepisami zmieniającymi. Zatem 
to ta ustawa, ten akt będzie się dla mnie wiązał z konkretnymi zadaniami do wykonania, 
z punktu widzenia podmiotu prowadzącego wdrożenia w przedsiębiorstwach. Na to więc 
czekam i tego wypatruję. 

Drugą rzeczą, która spędza mi sen z powiek, jest kwestia może do rozważenia przez 
pana ministra i pana doktora. Nie daje mi spokoju warunek 250 pracowników jako ele- 
ment wyłączający lub ograniczający wykonanie niektórych obowiązków z tytułu rozpo- 
rządzenia. 
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Proszę państwa, znam wiele podmiotów, które zatrudniają nie więcej niż 40 pracow- 
ników, a przetwarzają dane osobowe na ogromną, przeogromną skalę. Nie wyobrażam 
sobie w gruncie rzeczy, żeby mogły one zostać wyłączone ze stosowania przepisów. 

Po drugie, w drugą stronę — znam też przedsiębiorstwa, głównie produkcyjne są tak 
skonstruowane, mające w zasadzie niewielki kontakt z danymi osobowymi, który 
w gruncie rzeczy ogranicza się tylko do danych osobowych pracowników, natomiast zde- 
cydowanie przekraczają one liczbę 250 osób. Może więc warto byłoby nie warunkować 
wyłączenia czy ograniczenia przepisów od liczby pracowników? 

Jeszcze jedna kwestia — kogo rozumiemy przez sformułowanie „pracownicy”? Czy 
ludzi zatrudnionych na umowę o pracę czy rozszerzamy pojęcie i rozumiemy przez to też 
osoby, które mają nawiązane umowy cywilnoprawne? Dziękuję bardzo. 


Przewodniczący poseł Paweł Pudłowski (N): 


Dziękuję bardzo, podzielam pani głos. Jeżeli wprowadzamy rozporządzenie, które 
ma chronić obywateli, chronić ich dane osobowe, a potem zastanawiamy się, w jaki spo- 
sób je w zasadzie wyłączyć poprzez ograniczenie ilościowe co do osób zatrudnionych 
w przedsiębiorstwie, któremu mają one podlegać, to jest to jakaś aberracja. 

Spójrzcie państwo, tu na sali jest 40 osób. Wszyscy siedzimy i tracimy czas — ja akurat 
podatnika, a państwo swoich organizacji. Po co? Wyłączmy to. Administracja niemiecka 
wyłącza, to jaki w ogóle sens ma procedowanie tego, jeżeli zastanawiamy się, jak wyłączyć? 

Jaki problem ma duża firma — nie chciałbym sugerować jakichś rozwiązań — ze stwo- 
rzeniem jednoosobowego przedsiębiorstwa, które będzie po prostu dedykowane zarzą- 
dzaniu danymi osobowymi? Jako jednoosobowa firma nie będzie podlegało rozporządze- 
niu. Uważam, że nie w tym jest rzecz. 

Chcemy chronić obywateli przed nagminnym wykorzystywaniem ich danych osobo- 
wych, chcemy dać im możliwość do „bycia zapomnianym” przez systemy bądź firmy, 
które sobie wybiorą. Taki jest tego sens. Zatem moim zdaniem nasza dyskusja i państwa 
praca powinny iść raczej w kierunku pragmatycznego wprowadzenia tych rozporządzeń 
— teraz już nie ma czasu, a ono jest skomplikowane — niźli wyłączania ich wszędzie. Taka 
praca po prostu moim zdaniem nie ma sensu. 

Zaraz oddam głos panu prezesowi. Pan zgłaszał się wcześniej. Bardzo proszę. 


Przedstawiciel Związku Przedsiębiorców i Pracodawców Marcin Krasuski: 
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Marcin Krasuski, Związek Przedsiębiorców i Pracodawców. 

Panie przewodniczący, panie ministrze, szanowni państwo, dziękuję za głos. Chciał- 
bym poruszyć dwie kwestie, które nurtują nas jako przedsiębiorców i pracodawców. 
Jedna będzie dosyć konkretna, a druga dosyć ogólna. Wrzuciliśmy też może taki malutki 
kamyczek do ogródka pana ministra. 

Pan minister powiedział bowiem, że rozporządzenie znane jest od dwóch lat i przed- 
siębiorcy mieli szansę się z nim zapoznać; wiedzą, co w nim jest. Tak jest, ale oczywiście 
diabeł tkwi w szczegółach — nie dotyczy to wszystkich artykułów. 

Konkretnym przykładem jest kwestia obniżenia wieku świadczenia usług drogą elek- 
troniczną do 13 lat. Do tej pory w rozporządzeniu było to 16 lat. Polski minister zdecydo- 
wał się na obniżkę tego wieku do 13 lat. Oczywiście motywowane jest to chęcią ochrony 
danych osobowych dzieci, nikt chyba nie jest temu przeciwny. Proszę jednak zwrócić 
uwagę na absurdy takiego rozwiązania. 

Nie wyobrażamy sobie, żeby 15- czy 16-latkowie, którzy są oczywiście przyspawani 
do swoich telefonów, za każdym razem wyrażali zgodę na przetwarzanie danych osobo- 
wych przez swojego pełnomocnika prawnego. Takie dziecko będzie siedziało z rodzicami 
i surfowało po internecie? 

Wydaje nam się, że widać też tutaj pewnego rodzaju niekonsekwencję. Z jednej strony 
takie dziecko jest uprawnione do akceptacji regulaminów, np. sieci społecznościowych, 
które mogą być dużo bardziej intruzywne, jeśli chodzi o przetwarzanie danych osobowych, 
zawierać różnego rodzaju elementy, przepisy, a z drugiej — nie może samodzielnie wyrazić 
zgody na przetwarzanie takich danych. W związku z tym przygotowaliśmy taką tabelkę, 
którą chętnie byśmy państwu rozdysponowali, pokazując, do czego to doprowadzi. 


d.ch. 
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Otóż, np. takie dziecko może skorzystać z mapy internetowej, ale nie będzie mogło 
podać swoich danych osobowych, żeby mapa zlokalizowała, gdzie to dziecko jest. Takie 
dziecko może założyć sobie konto mailowe, ale nie może zgodzić się na wysyłanie mu 
informacji marketingowej na temat np. rozszerzenia pojemności tej skrzynki. Może sobie 
kupić coś w serwisie społecznościowym albo handlowym, może kupić bilet do kina czy 
do muzeum, ale nie może zapisać się na listę mailingową kina czy muzeum, żeby mu przy- 
pominało o kolejnych premierach. Może zapisać się na forum dyskusyjne o jakimś hobby, 
które je interesuje, ale nie można mu rekomendować kolejnych rzeczy, którymi mogłoby 
być zainteresowane. W związku z tym widać tu pewnego rodzaju niekonsekwencję. 

Drugą kwestią, którą chciałbym poruszyć, jest jednoinstancyjność postępowań przed 
nowym prezesem urzędu. Prezes będzie kontrolował postępowania wśród przedsiębior- 
ców, będzie patrzył, czy są jakieś naruszenia i będzie najprawdopodobniej nakładał jakieś 
kary. Przedsiębiorca może się od tego odwołać w trybie jednoinstancyjnym, ale tylko 
na drodze prawno-administracyjnej. W związku z tym nie może odwołać się od meritum 
kwestii, czyli od kary. Może tylko wskazać, czy dana decyzja została błędnie albo dobrze 
doręczona czy sporządzona. Wydaje nam się, że przeczy to art. 15 Kodeksu postępowania 
administracyjnego, który wprost stanowi przełożenie normy konstytucyjnej, mówiącej 
o tym, że dwuinstancyjność w postępowaniu administracyjnym jest konieczna. 

Wydaje nam się, że ze względu na powoływanie się na ekonomikę postępowań 
i konieczność szybkiego przeprowadzania, przyspieszenia tych procesów, nie można 
poświęcić możliwości odwoływania się przez przedsiębiorców i dochodzenia swoich racji. 
Dziękuję bardzo. 


Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję i bardzo proszę o tę tabelę, rozdysponujemy ją między posłów. Jeśli ktoś 
z państwa również będzie zainteresowany, to będzie ona dostępna w Komisji. 
Pan prezes Straszewski, bardzo proszę. 


Prezes Polskiej Izby Komunikacji Elektronicznej Jerzy Straszewski: 


d.ch. 


Dzień dobry państwu. Panie przewodniczący, dziękuję za umożliwienie wypowiedzenia 
się w imieniu organizacji, którą reprezentuję. Jest to organizacja, której członkowie 
omawiają miliony, jeśli nie miliardy, danych osobowych. Przypomnę, że tylko operato- 
rzy telewizji płatnej, którzy mają co najmniej 10 milionów zawartych umów, bo tylu jest 
odbiorców, a każde dane idą w dziesiątki informacji na ten temat, danych osobowych 
i abonentów... W związku z tym jesteśmy ważnym elementem tej dyskusji. 

Chciałbym powiedzieć, że traktujemy ją bardzo poważnie, a na dowód tego chciałem 
przypomnieć to, co działo się rok temu w tym budynku, kiedy była rozpatrywana ustawa 
abonamentowa. Proszę państwa w ramach projektu, który na szczęście nie został już 
dalej procedowany, został gdzieś „zamrożony”, problem zmuszenia operatorów do prze- 
kazania danych swoich abonentów innemu podmiotowi na rynku bez gwarancji zabez- 
pieczenia, pewności, że dane te nie wyciekną. Po to są właśnie w tej chwili procedowane 
rozporządzenia, a w zasadzie już nie ma procedowania rozporządzenia, bo ono wchodzi 
i będzie obowiązywało. 

To, co pan minister mówił o ustawie krajowej, wewnętrznej w stosunku do roz- 
porządzenia, to w tej chwili dyskutujemy i pojawiają się pomysły, żeby coś złagodzić. 
My naprawdę jesteśmy zobowiązani w stosunku do naszych abonentów do bycia lojal- 
nymi i do dbania o ich dane osobowe, bo jest to ich prywatna własność — święta własność, 
której nie można naruszyć. Dlatego też uważam, że powinniśmy bardzo ostrożnie pod- 
chodzić do tych wyłączeń, o których była mowa. 

Podzielam zdanie przedmówców, bo operatorzy kablowi, jeśli traktować ich jako 
przedsiębiorców, są duzi, jeśli chodzi o tych, którzy obsługują miliony abonentów. Są jed- 
nak i mali, którzy obsługują dziesiątki czy tysiące abonentów. To są firmy jedno-, dwu- 
osobowe, rodzinne. Jeżeli podciągniemy pewne zwolnienia ich z tego, to będą dziury 
w — skądinąd moim zdaniem słusznym — rozporządzeniu, jakim jest RODO. Bądźmy pod 
tym względem ostrożni. 

Druga sprawa, która się z tym wiąże, to problem przepisów przejściowych. Mówił 
o nich też pan minister. To jest istotne, to jest bolączka naszego systemu prawnego, 
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że najpierw, jeśli chodzi o rozporządzenia, są ustawy, a przepisy przejściowe nie nadążają 
i nie dają komfortu działania przedsiębiorcom gospodarczym. 

Apeluję więc, żeby podchodzić do tego bardzo roztropnie i bardzo rozważnie. Dzia- 
łamy na rzecz obywateli, na rzecz naszych abonentów, a ustawa, o której była mowa, 
nie łagodzi skutków rozporządzenia. Ona tylko jak gdyby wspomaga ich wprowadzenie 
dla dobra obywateli. Apeluję jeszcze raz, żebyśmy poprzez pośpiech nie wylali dziecka 
z kąpielą. 

My jako operatorzy, jako grupa społecznych samorządowców, którzy obejmują rynek 
mediów i telekomunikacji, wspólnie przygotowujemy się do tego. Nawet, jeżeli państwo 
ograniczyliby stosowanie tego do 250 czy 50 osób, jak powiedziała pani poseł, to nas 
obowiązuje prawo telekomunikacyjne — art. 161 dotyczący tajemnicy telekomunikacyj- 
nej. Niezależnie od innych przepisów musimy to stosować. Proszę to wziąć pod uwagę. 
Dziękuję bardzo. 


Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję, panie prezesie. Czy ktoś z państwa chciałby jeszcze zabrać głos? 

Jeśli nie, to przed oddaniem głosu panu ministrowi, chciałem jeszcze zapytać, pogłę- 
biając sprawę zasygnalizowaną przez pana posła Marchewkę, dotyczącą powołania 
nowego urzędu. 

Jako osoba pragmatyczna chciałbym prosić państwa o wskazanie trzech spraw, trzech 
punktów, dla których GIODO nie jest w stanie podjąć się nowych obowiązków w ramach 
swojej działalności i które to uzasadniają powołanie nowego organu, jak słyszę, prawie 
100-osobowego, tak? Jaki jest budżet takiej organizacji? Czy rzeczywiście musimy two- 
rzyć nowy organ zamiast rozbudować kompetencje GIODO? 

Bardzo dziękuję i proszę pana ministra o odpowiedź. 

Bardzo proszę, jeszcze pan minister Halicki. 


Poseł Andrzej Halicki (PO): 


Do tego pytania dodałbym jeszcze dwa. 

Pierwsze dotyczy niezależności urzędu ochrony danych osobowych. Nie pamiętam, 
czy nastąpiła zmiana w sposobie rekomendacji. Do tej pory była taka propozycja, żeby 
Ministerstwo Spraw Wewnętrznych i Administracji przedstawiało kandydatury Sej- 
mowi, a nie, tak jak powinno być według europejskich standardów, że urząd jest całko- 
wicie niezależny od administracji rządowej; wybierany przez Sejm i Senat. 

Drugą rzeczą jest kwestia finansowa. Sygnalizowano brak możliwości sfinansowania 
kolejnych, bodajże, 100 etatów. Jeżeli dobrze pamiętam, to rzecz dotyczyła dwudziestu 
paru milionów. Czy te środki się znalazły? Czy przewidujecie wsparcie tej potrzeby? 
Jedno bez drugiego nie będzie funkcjonować. Bez pieniędzy nie będzie etatów, a bez 
etatów nie będzie wykonanego zadania. 


Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję. Bardzo proszę, panie ministrze. 


Sekretarz stanu w MC Marek Zagórski: 
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Najpierw zaskoczę pana ministra Halickiego, myślę, że państwa też. 

Otóż oczywiście wycofaliśmy się z propozycji, polegającej na tym — ale zaskoczenie jest 
gdzie indziej — że zastępców wskazywaliby czy proponowaliby minister cyfryzacji i mini- 
ster spraw wewnętrznych i administracji. Wycofaliśmy się, żeby nie budzić jakichkolwiek 
podejrzeń co do tego, że mamy jakąś chęć zamachu na niezależność organu. Wprowadzi- 
liśmy tę propozycję z tego powodu, że — to tak à propos spójności z dyrektywą policyjną, 
o czym jeszcze zaraz będę mówił i à propos pragmatyzmu, mnożenia organów lub nie 
— można było podejść do tego dwutorowo. To znaczy albo powołać dwa urzędy — jeden 
od dyrektywy policyjnej, a drugi od RODO — lub zintegrować to. Poszliśmy w kierunku 
integracji i jest jeden urząd. Rozważyliśmy to natomiast w ten sposób, że skoro zakres 
dyrektywy policyjnej jest dosyć szczególny, to może dobrze byłoby, żeby minister spraw 
wewnętrznych i administracji miał jakiś wpływ na tę materię poprzez możliwość wska- 
zania zastępców. 


d.ch. 


d.ch. 
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Łagodziliśmy to i łagodziliśmy, a na koniec poszliśmy do Komisji Europejskiej. 
To znaczy po tych wszystkich argumentach, powiedzieliśmy: „Dobrze, żeby nie było już 
dyskusji, jest lepiej niż teraz nawet”. Dlatego, że w tej chwili zastępcę powołuje marsza- 
łek, w ustawie jest wpisane, że zastępców powołuje sobie prezes urzędu. 

Ià propos tej niezależności, to byliśmy w dialogu z Komisją Europejską. Komisja 
Europejska powiedziała, że to nie jest naruszenie niezależności — to tak na marginesie 
i à propos tego zaskoczenia. 

Jeśli chodzi o to, dlaczego budujemy nowy urząd, to my go de facto nie budujemy, 
tylko go rozbudowujemy. Zmienia się nazwa, natomiast jest to kontynuacja tego urzędu, 
obecny generalny inspektor ochrony danych osobowych kończy swoją kadencję już 
w ramach nowego urzędu. Chcemy po pierwsze wzmocnić rangę. Zmienia się charakter, 
trzeba wdrożyć pewne rozwiązania proceduralne. Z tego powodu urząd zmienia tro- 
chę charakter, także dlatego, że będzie się zajmował chociażby kwestiami związanymi 
z dyrektywą policyjną. 

Jeśli chodzi o jego wielkość, to z dzisiejszej dyskusji wynika, dlaczego musi on być 
duży, dlaczego musi być większy — może tak. Duży i tak nie będzie. To nadal mimo 
wszystko będzie mały urząd. Dlaczego zatem powinien być większy? Dlatego, że zakres 
spraw, którymi się będzie zajmował, jest po prostu dużo, dużo większy. 

Jak dzisiaj słyszeliśmy na tej sali, liczba wątpliwości, jak to stosować, całkowicie roz- 
bieżne punkty widzenia powodują, że wzmocnienie organu jest konieczne. Są na to pie- 
niądze zapewnione w budżecie. Sam osobiście rozmawiałem z ministrem finansów. Nie 
zgadzam się też z tym argumentem, że musimy czekać z przekazaniem tych pieniędzy 
dla GIODO do czasu wdrożenia ustawy. Wydaje mi się, że problem ten jest już załatwiony, 
przynajmniej na poziomie, może nie formalnym, ale na poziomie decyzji politycznych. 

Odpowiadając na pytania, postaram się je jakoś pogrupować, podzielić na kilka kwe- 
stii. Poproszę jeszcze dyrektora Kaweckiego, żeby bardziej szczegółowo odpowiedział. 
Chciałbym podziękować panu prezesowi Straszewskiemu za głos, dlatego że on w pigułce 
oddaje to, co ja chciałbym powiedzieć. 

Po pierwsze chodzi o odpowiedzialność dużych podmiotów, zwłaszcza tych, które 
przetwarzają duże ilości danych. Ona jest i cieszę, że jest takie podejście. Jednocześnie 
a propos potencjalnych wyłączeń dla przedsiębiorców, to jeszcze raz powtarzam — nigdy 
nie proponowaliśmy całkowitego zwolnienia przedsiębiorców, wyłączenia ich spod obo- 
wiązków rozporządzenia. Zaproponowaliśmy na dwóch etapach dwa rozwiązania. Chcie- 
liśmy przyjąć jakieś progi i najlepszym rozwiązaniem wydawały nam się progi dotyczące 
wielkości przedsiębiorstw, wynikające z przepisów Unii Europejskiej, które mówią o tym, 
co jest mikroprzedsiębiorstwem, co jest małym i średnim przedsiębiorstwem, a co jest 
dużym przedsiębiorstwem. 

Nawet, jeżeli w pierwszej fazie proponowaliśmy wyłączenie dla małych i średnich 
firm, to wyłączenia te dotyczyły tylko sytuacji, w których nie przetwarzają one danych 
osobowych na dużą skalę, a już na pewno nie przekazują ich dalej. Jeżeli przekazują, 
to w ramach własnego przedsiębiorstwa, mówiąc w dużym skrócie. 

Wycofaliśmy się z tych przepisów dlatego, że zarzuty, jakie się pojawiły, mówiły o tym, 
że wyłączamy RODO, że chcemy całkowicie wyłączyć RODO i ono nie będzie miało zasto- 
sowania. Natomiast cały czas prowadzimy jeszcze konsultacje dotyczące mikroprzedsię- 
biorstw do 9 osób po to, żeby wyłączyć je z części obowiązków. Jeżeli uda nam się te prze- 
pisy wynegocjować z Komisją Europejską, to być może w przepisach wprowadzających 
lub na etapie jeszcze prac w Parlamencie udałoby się nam te przepisy wdrożyć. Będą 
one dotyczyły wszakże tylko tych sytuacji, w których przetwarzanie danych odbywa się 
w ramach prowadzonej działalności i dane nie są przekazywane na zewnątrz po to, żeby 
nimi obracać, czyli nie są sprzedawane, nie są przekazywane dalej. 

Zatem mówimy tutaj o fryzjerze, szewcu czy warsztacie samochodowym, którzy mają 
swoja bazę klientów w Exelu i w ten sposób jakoś tam ją obrabiają. Nie mówimy o jed- 
noosobowej, dwuosobowej czy pięćdziesięcioosobowej firmie, która zajmuje się przetwa- 
rzaniem danych osobowych, to jest cel jej działalności czy też w związku z prowadzoną 
działalnością zajmuje się przetwarzaniem na wielką skalę. Tak to będzie wyglądało. 
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Jeszcze raz wspomnę o wyłączeniu niemieckim, bo to też padło. To wyłączenie zasto- 
sowane przez Niemców, o którym mówimy, jest wyłączeniem dotyczącym obowiązków 
dla administracji, a nie dla przedsiębiorców. Niemcy zaproponowali cały szereg wyłą- 
czeń spod RODO, które ograniczają obowiązki nakładane przez RODO na administrację; 
na bezpieczeństwo publiczne także. 

Natomiast my w projekcie ustawy część z tych rozwiązań, nie tak szeroko jak usta- 
wodawca niemiecki, zaproponowaliśmy we wspomnianych przepisach, uznając, że, jeżeli 
Komisja Europejska zakwestionuje to w przypadku Niemiec, to znajdziemy się na tej 
samej ławce oskarżonych. Jesteśmy gotowi na taki eksperyment i na takie ćwiczenie. 

Chcę też jeszcze raz podkreślić à propos tych opóźnień czy tego, dlaczego cały ten 
proces tak się ciągnie oraz wrócić na chwilę do spójności z dyrektywą policyjną. Cały 
pakiet, który zapowiedziała Komisja Europejska, nie dotyczy tylko dyrektywy policyj- 
nej i RODO, ale miał także dotyczyć np. dyrektywy ePrivacy. Miała ona wejść w życie, 
miała być przygotowana przez Komisję Europejską razem z przepisami RODO, czyli już 
w tej chwili powinna być gotowa, opublikowana i wchodzić w życie. Tylko że Komisja 
Europejska nie zdążyła tego zrobić. Ten proces też trwa. Mówię o tym dlatego, żebyśmy 
sobie zdawali sprawę. 

Jeszcze raz powiem: nie tłumaczymy się. Zależało nam na tym, jesteśmy blisko ter- 
minu, żeby zdążyć z naszymi ustawami, ale jeszcze raz podkreślam — tylko trzy pań- 
stwa... Ktoś tu słusznie powiedział, że to jest pytanie, czy wdrożyły czy tylko udają, 
że wdrożyły. W tej chwili tylko trzy państwa w Unii Europejskiej mają przyjęte prze- 
pisy, nie wprowadzające, a główne. Mówię o tym jeszcze raz tylko po to, żeby podkreślić, 
że proces ten, o którym mówił przedstawiciel PIRC, gdy mówił o problemach z analizą, 
ten proces uczenia się przepisów, wdrażania przepisów będzie trwał. Po prostu jest 
to na tyle skomplikowana materia, że nawet gdybyśmy dzisiaj mieli już tę ustawę przy- 
jętą, to też mówilibyśmy, że będziemy się tego wszystkiego jeszcze uczyć. 

Teraz à propos dyrektywy policyjnej. Jesteśmy w kontakcie i w ścisłej współpracy 
z Ministerstwem Spraw Wewnętrznych i Administracji, projekt jest przygotowany. Mini- 
sterstwo w tej chwili kieruje go do konsultacji albo już jest skierowany do konsultacji 
międzyresortowych. Zatem ten projekt jest. Natomiast rzeczywiście to, żeby te przepisy 
weszły 6 maja jest niemożliwe. Mamy przygotowane rozwiązanie, żeby rozwiązać ten 
problem, o którym mówił pan dyrektor Drobek. Już w trakcie prac w Sejmie zaproponu- 
jemy, o ile posłowie się na to zgodzą, rozwiązanie, które rozwiąże problem niespójności. 

Wracając jeszcze na chwilę do mikroprzedsiębiorców i problemu, o którym mówiła 
pani poseł przewodnicząca Bubula, to, tak jak już mówiłem, pracujemy nad takim roz- 
wiązaniem, żeby w odniesieniu do najsłabszych, najmniejszych przedsiębiorców w miarę 
możliwości złagodzić obowiązki. Bowiem, gdybyśmy chcieli je zastosować, to żebyśmy 
mieli świadomość, o czym rozmawiamy... Mówimy oczywiście o rzeczach niezbyt skom- 
plikowanych. Jednak kiedy mówimy o obowiązkach informacyjnych, które mały przed- 
siębiorca będzie musiał zastosować, to trzeba powiedzieć, że będzie on musiał mieć 
w zakładzie prawie że tapetę z tymi wszystkimi obowiązkami informacyjnymi. To jest 
oczywiście do zrobienia, tylko pytanie, czy to ma większy sens praktyczny? To jest cały 
czas ten dylemat. 

Jeśli chodzi o problem wieku, o którym mówił przedstawiciel ZPiP, to wielokrot- 
nie się zresztą pojawiało, to był element dyskusji i konsultacji, także w ramach rządu. 
Rada Ministrów podjęła decyzję, że próg będzie wynosił 16 lat. Natomiast, co to oznacza 
w praktyce? 

W praktyce oznacza to, że w gruncie rzeczy odnosimy to tylko do sytuacji takiej jak 
akceptacja regulaminu uczestnictwa w jakiejś usłudze czy w jakimś portalu społeczno- 
ściowych. Dwa — sytuacji, związanych z newsletterem czy zgodami marketingowymi. 
Natomiast generalnie po tym procesie dalej w praktyce nic się nie zmieni. W związku 
z tym ten młody człowiek będzie mógł kupić sobie książkę w sklepie internetowym. 
To jest oczywiście być może symboliczne, natomiast, jak analizowaliśmy, jak to będzie 
wyglądało w praktyce, to nie będzie to stanowiło aż tak wielkiego obciążenia operacyj- 
nego. 


d.ch. 
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Jeśli chodzi o kwestię jednoinstancyjności, to poproszę pana dyrektora, żeby opowie- 
dział o tym bardziej precyzyjnie. To samo dotyczy uwagi, którą zgłosił Panoptykon, jeśli 
chodzi o art. 80. 

Natomiast chcę też powiedzieć, ciesząc się, że przedstawiciele Panoptykonu są na sali, 
że właśnie z Panoptykonem, to zasługa zwłaszcza dyrektora Kaweckiego, proces kon- 
sultacji prowadzony był bardzo intensywnie. O ile nic się nie zmieniło, mam nadzieję, 
że Panoptykon podtrzymuje uwagę, że proces przeprowadzenia tej ustawy był najbar- 
dziej transparentnym, z jakim strona społeczna miała do czynienia. Jesteśmy z tego 
powodu zadowoleni. Ta chęć zachowania przejrzystości spowodowała też, że proces ten 
po prostu trwał długo. 

Jeśli można, to poproszę jeszcze pana dyrektora. 


Dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji Maciej Kawec- 


ki: 


d.ch. 


Dzień dobry, witam państwa. Panie przewodniczący, szanowni państwo, jeżeli chodzi 
o pytanie Fundacji Panoptykon, to rzeczywiście przepisy warunkujące udział organizacji 
społecznych były pisane można powiedzieć wspólnie, a przynajmniej konsultowaliśmy te 
rozwiązania z Panoptykonem, zresztą nie tylko. 

Trzeba jednak zwrócić uwagę na jeden bardzo poważny poruszany problem, to znaczy 
wagę tej regulacji. Ponieważ to, z czym teraz się spotykamy w związku z RODO, to jest 
ogromna liczba powstawania tzw. fake organizacji, czyli podmiotów, które zastraszają 
przedsiębiorców niewdrożeniem RODO w terminie w związku z donosem do prezesa 
urzędu. Zatem projektując rozwiązania, musieliśmy je stworzyć w taki sposób, żeby 
z jednej strony zapewnić organizacji społecznej udział w postępowaniu, ale jednocześnie 
sprawić, żeby rola organizacji społecznej, warunki jej udziału w postępowaniu przeciw- 
działały takim działaniom fake organizacji. Staraliśmy się to zrobić, warunkując udział 
organizacji społecznych od zgody osoby, której dane dotyczą w postępowaniu. 

Natomiast, dlaczego nie wprowadziliśmy zmian w zakresie postępowania cywilnego? 
Po pierwsze, nie jest prawdą, że dzisiaj sprawy ochrony danych osobowych nie są roz- 
patrywane przez sądy cywilne. Naruszenie danych osobowych bardzo często jest naru- 
szeniem prawa do prywatności. Prawo do prywatności na podstawie art. 23 Kodeksu 
cywilnego jest dobrem osobistym, jest bardzo dużo spraw w sądach cywilnych właśnie 
w tej materii. 

Przepisy Kodeksu cywilnego przewidują wstąpienie organizacji społecznej do postę- 
powania. Na tym etapie wydało nam się to wystarczające, biorąc pod uwagę, że organiza- 
cje będą brały udział, za zgodą stron, w postępowaniu administracyjnym prowadzonym 
przez prezesa urzędu. To jest pierwsza rzecz. 

Druga rzecz to jest kwestia związana z jednoinstancyjnością. Jedno z pytań dotyczyło 
nie tyle jednoinstancyjności, co kontroli formalnej podejmowanej przez sądy administra- 
cyjne. Rzeczywiście w Polsce sądy administracyjne co do zasady nie dokonują meryto- 
rycznej oceny działań organów, tylko tzw. kontroli formalnej. 

Proszę państwa, nie jest to do końca prawda. Jeżeli spojrzymy sobie na sektor ochrony 
środowiska, to tam sądy dokonują oceny umyślności bądź nieumyślności naruszenia. 
W ten sposób kontrola administracyjna zbliża się już dzisiaj do takiej kontroli opartej 
na zasadzie winy i kontroli merytorycznej. 

Natomiast, jeżeli sąd administracyjny ma problem z dowodami, uzna, że prezes 
urzędu ochrony danych osobowych nie dochował najwyższej staranności na etapie postę- 
powania dowodowego, to oczywiście w takiej sytuacji zwraca sprawę do prezesa urzędu. 
Prezes urzędu uzupełnia materiał dowodowy. Zatem nie widzimy tutaj ryzyka. 

Jeszcze dwa słowa chciałbym powiedzieć odnośnie do tego, o czym powiedziała pani 
chyba z firmy ODO 24. To jest najgorsza rzecz, jaką możemy zrobić tej reformie. Spoty- 
kamy się z tym od bardzo dawna. Chodzi o komunikowanie, że wdrożenie RODO w każ- 
dej firmie wymaga ogromnego nakładu środków i ogromnego nakładu ludzi. To zależy. 

Jeżeli mamy zakład fryzjerski, w którym dane przetwarzane są tylko w postaci trzech 
teczek, bo mamy trzech pracowników i tabeli Exel, w której ktoś zapisuje się na strzy- 
żenie, to z całym szacunkiem — wdrożenie RODO nie wymaga ani ogromnych nakładów 
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finansowych, ani zaplecza ludzi. Jeżeli mamy korporację międzynarodową, to rzeczywi- 
ście wdrożenie RODO wymaga pewnie zaplecza informatycznego, analitycznego i praw- 
niczego. 

Już na samo zakończenie — wyłączenia. Pan minister już o tym oczywiście powie- 
dział, ale żeby to jeszcze wybrzmiało. Wyłączenia, które znalazły się w projekcie ustawy 
o ochronie danych osobowych, rzeczywiście znalazły się na etapie Komitetu Stałego Rady 
Ministrów. Jednak były to wyłączenia przygotowywane, po pierwsze w zespole roboczym, 
w którego skład wchodzili: generalny inspektor ochrony danych osobowych, Rządowe 
Centrum Legislacji, minister spraw zagranicznych i minister cyfryzacji, następnie prze- 
pisy zostały przekazane Komisji Europejskiej. Osobiście uczestniczyłem w spotkaniu 
z Komisją Europejską. Owszem, Komisja Europejska wniosła do tych przepisów drobne 
uwagi, które zostały uwzględnione, natomiast Komisja Europejska owe wyłączenia, 
ograniczenia co do zasady zaakceptowała. To było zresztą to samo spotkanie, na którym 
rozmawialiśmy o zastępcach, ale nie zdecydowaliśmy się tutaj na wprowadzenie zmian. 

Chyba odpowiedzieliśmy na wszystkie pytania. Pani jeszcze pytała o 250 pracowników. 
Projekt ustawy o ochronie danych osobowych w chwili obecnej nie zawiera ograniczenia 
zastosowania przepisów do 250 pracowników. Mówi o tym tylko i wyłącznie RODO, więc 
trzeba też zwrócić uwagę, że nawet ustawodawca unijny zdecydował, że są przypadki, 
w których ograniczenie prawa unijnego, jest uzasadnione wielkością przedsiębiorstwa. 
Akurat tutaj dotyczy to rejestru czynności przetwarzania danych osobowych. Dziękuję 
bardzo. 


Przewodniczący poseł Paweł Pudłowski (N): 


Dziękuję panu ministrowi, dziękuję panu dyrektorowi. Zgłasza się jeszcze pan dyrektor 
Drobek. 

Nie zamykam jeszcze posiedzenia. Jeśli ktoś z państwa chciałby jeszcze zadać pytanie, 
to mamy jeszcze chwilę czasu, także bardzo proszę. 

Mam taką prośbę, żeby w swojej wypowiedzi bądź pytaniu ujął pan też taki element: 
czy pana zdaniem, znając pana instytucję, rzeczywiście nie jesteście państwo w stanie 
przyjąć na siebie odpowiedzialności tej powoływanej na razie z inicjatywy Ministerstwa 
Cyfryzacji nowej instytucji? 

Bardzo proszę. 


Zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodo- 
wej w Biurze GIODO Piotr Drobek: 
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Dziękuję bardzo, panie przewodniczący. Chciałem mówić na zupełnie inny temat, ale 
zacznę od organu. 

Mówimy o powołaniu nowego organu. Mam wrażenie, że dyskusja w trakcie posie- 
dzenia przebiegała w taki sposób, że mówimy o nowej instytucji, która zostanie na nowo 
wyposażona, będzie miała nowe kompetencje i nowe zasoby. Z formalnego punktu widze- 
nia — racja. Z formalnego punktu widzenia ustawa powołuje nowy organ, wprowadza 
przepis, który mówi o ciągłości dotychczasowego organu, czyli GIODO staje się prezesem 
urzędu. Z formalnego punktu widzenia to jest ta sama struktura organizacyjna, która 
po prostu będzie działała pod inną nazwą. 

Podsumowując, od strony faktycznej, mówimy o zmianach formalnych, dotyczących 
nazwy. Oczywiście można zadać pytanie o racjonalność tej zmiany ze względu na czas 
i ewentualne koszty, które może to generować, ale nie jest to zmiana w takim sensie, 
że tworzymy zupełnie nowy byt. Z tej perspektywy oczywiście, jeżeli ta ustawa w tym 
brzmieniu zostanie przyjęta, GIODO stając się prezesem urzędu, będzie kontynuował 
swoją misję i będzie realizował zadania, które zostały na niego nałożone przepisami 
prawa — czy RODO czy też przepisami krajowymi. 

To jest ważne, żebyśmy widzieli, że przygotowujemy się do tej zmiany nie teraz, 
tylko zaczęliśmy to już dużo wcześniej. Wiąże się to też ze zmianami organizacyjnymi 
wewnątrz Biura GIODO, które właśnie w tej chwili następują. 

Chciałbym zwrócić uwagę na jeszcze jeden aspekt, który pojawił się w wielu wypo- 
wiedziach. Chodzi o mikroprzedsiębiorców i ewentualne ograniczenia bądź wyłączenia 
obowiązków nałożonych przez RODO w odniesieniu do działań mikroprzedsiębiorców. 


d.ch. 


d.ch. 
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Proszę państwa, jeżeli spojrzymy na RODO, to wcale nie odnoszę wrażenia, że to jest 
akt, który jest tylko prokonsumencki. To już widać w tytule rozporządzenia. Tytuł jest 
dziwaczny — o ochronie praw osób oraz o swobodnym przepływie danych. Zatem mamy 
dwa cele, które mają pogodzić zarówno interesy jednostek, jak i interesy podmiotów 
przetwarzających dane, szerzej nawet, na jednolitym rynku cyfrowym. Z tej perspektywy, 
gdybyśmy porównali to, czego wymaga RODO, a jak wyglądały obowiązki w obecnie obo- 
wiązujących przepisach, to okazuje się, że RODO zapewnia dużo większą elastyczność 
realizacji obowiązków na poziomie konkretnej już organizacji — z jednej strony. Z drugiej 
strony wprowadza to, co dla informatyków nie jest niczym nowym, czyli element skalo- 
walności obowiązków. 

Proszę państwa, jak to wygląda obecnie? Obecnie mamy rozporządzenie wyko- 
nawcze do ustawy o ochronie danych osobowych, które nakłada obowiązki dotyczące 
prowadzenia dokumentacji przetwarzania danych oraz określa, jakie wymogi funk- 
cjonalności mają być w systemach informatycznych. To jest na sztywno. Mamy dwa 
dokumenty, które w tej chwili każdy administrator danych — czy to jest wielki bank 
czy to jest fryzjer, o którym była już mowa... Jeżeli ma cokolwiek w systemie informa- 
tycznym, to musi być i polityka bezpieczeństwa i instrukcja zarządzania systemem 
informatycznym. Mają być dokumenty. 

Co więcej, obecne przepisy określają, jakie elementy muszą zawierać te dokumenty. 
Mamy to na sztywno. Co więcej, przepisy nakładają obowiązki, dotyczące funkcjonalno- 
ści, też na sztywno. To jest słynny przepis, który wymagał, żeby hasło na pewnym pozio- 
mie bezpieczeństwa miało określoną składnię i liczbę znaków. Na poziomie podwyższo- 
nym — małe i wielkie litery, znaki specjalne lub cyfry, co najmniej osiem znaków. Nakłada 
się na sztywno obowiązek, że należy zmieniać hasło co 30 dni — czy to jest duży podmiot, 
czy to jest mały podmiot; bez względu na to, jakie ryzyka występują w organizacji. Tak 
wyglądają obecne obowiązki nałożone na wszystkie podmioty. RODO od tego odchodzi. 

Stąd pojawiają się elementy oceny ryzyka. Z drugiej strony, RODO w zupełnie inny 
sposób podchodzi do prowadzenia dokumentacji. Już nie mamy szczegółowo określonych 
wymogów, jaka dokumentacja, jak ma być prowadzona, jakie ma mieć elementy. RODO 
uzależnia to od ryzyk, jakie pojawiają się w organizacji. 

Proszę zobaczyć to w przypadku jednego z dokumentów, który należy prowadzić, 
to jest rejestr czynności przetwarzania danych. Tam mamy właśnie kryterium 250 
pracowników, od którego to kryterium obowiązek ten się pojawia. Ewentualnie mamy 
dodatkowe kryteria merytoryczne związane z ryzykami przetwarzania danych. Pojawia 
się pojęcie polityki bezpieczeństwa, polityki prywatności — jeżeli jest potrzebne. Powo- 
duje to, że możemy przenieść te obowiązki na bardziej realny poziom. Chodzi o to, że nie 
tworzymy formalnej dokumentacji, co niestety jest cechą obecnie obowiązujących prze- 
pisów. Właśnie, jeśli chodzi o te małe podmioty. 

Z tej perspektywy muszę powiedzieć, że nowe przepisy widzę raczej jako szansę dla 
małych podmiotów przetwarzających dane. Z perspektywy na sztywno nałożonych obo- 
wiązków widać, że tych obowiązków jest mniej i można je zrealizować bardziej sensow- 
nie i racjonalnie, z perspektywy działania organizacji. 

Dotyczy to również obowiązków informacyjnych, co jest bardziej problemem stoso- 
wania prawa w zależności od tego, jakie kanały informacyjne są wykorzystywane przez 
taki podmiot. Pamiętajmy bowiem, że małym przedsiębiorcą będzie jednoosobowa dzia- 
łalność gospodarcza — właściciel zakładu fryzjerskiego, który ma dwóch pracowników. 
Jednak mikroprzedsiębiorcą w pewnym zakresie może być sklep internetowy, który 
z perspektywy wolumenów danych, wcale już taki mały nie musi być. To kryterium jest 
dużo ważniejsze, a RODO zwraca uwagę właśnie na te ryzyka, które się pojawiają. 

Wydaje mi się, że jeżeli przejdziemy na poziom konkretnych obowiązków, to wcale 
nie wygląda to tak, że RODO będzie nakładało zupełnie nowe obowiązki na administra- 
torów —również małych — których nie będą w stanie zrealizować. Ważne jest bowiem 
to, na co uwagę zwrócił pan dyrektor Kawecki — wszystko zależy od tego, jaką działal- 
ność prowadzimy, jakie ryzyka w ramach tej działalności się pojawiają. RODO jest tym 
instrumentem, który umożliwia racjonalne podejście do tych wszystkich obowiązków. 
Dziękuję bardzo. 
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Przewodniczący poseł Paweł Pudłowski (N): 
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Bardzo dziękuję, panie dyrektorze. Czy ktoś z państwa chciałby jeszcze zabrać głos? Jeśli 
nie, to zamykam dyskusję. Tym samym zamykam punkt pierwszy. 

Przechodzimy do drugiego punktu porządku dziennego. W związku ze zmianami 
w składzie podkomisji stałej prezydium Komisji proponuje uzupełnienie składu podko- 
misji. Mamy dwóch posłów chętnych do uczestnictwa w pracach podkomisji. Jest to pan 
poseł Paweł Kobyliński, który już wcześniej uczestniczył w pracach tej podkomisji, ale 
ze względów organizacyjnych musiał ją opuścić. Teraz chciałby wrócić. I pan poseł Piotr 
Liroy-Marzec, który jest posłem niezrzeszonym, bardzo zainteresowanym zagadnie- 
niami, bierze udział w pracach podkomisji, chciałby formalnie w niej uczestniczyć. 

Ponieważ panów posłów nie ma, chciałem poinformować, że uzyskałem zgodę obu 
panów posłów na przyłączenie się do tej podkomisji. Czy jest sprzeciw wobec uzupełnie- 
nia składu podkomisji stałej o wspomnianych posłów? Nie słyszę. Jeśli nie ma, stwier- 
dzam, że Komisja wybrała panów posłów Kobylińskiego i Liroya-Marca do składu pod- 
komisji stałej. 

Stwierdzam tym samym, że porządek dzienny dzisiejszego posiedzenia został wyczer- 
pany. Zamykam posiedzenie Komisji. Protokół posiedzenia wraz z załączonym zapisem 
jego przebiegu jest do wglądu w sekretariacie Komisji w Kancelarii Sejmu. Dziękuję bar- 
dzo, życzę udanego dnia. 


d.ch. 


